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Sammanfattning och rekommendationer 


Riksrevisionen har granskat förekomsten av föråldrade it-system hos ett drygt 
60-tal större myndigheter. Fokus för granskningen har varit om myndigheterna 
och regeringen gör tillräckligt för att hantera de problem som föråldrade it-system 
innebär. Den övergripande slutsatsen är att flertalet myndigheter inte gör det. 
Riksrevisionen menar att problemet är så allvarligt och utbrett att det innebär 

ett hinder för en fortsatt effektiv digitalisering av statsförvaltningen. 


Granskningen visar att regeringen på ett övergripande plan har arbetat med 
digitalisering som indirekt kan ha positiva effekter på problemen med föråldrade 
it-system. Regeringen har dock bristande kunskap om förekomsten och 
konsekvenserna av problemen med föråldrade it-system. Det saknas också 
åtgärder som mer direkt riktas mot föråldrade it-system. Riksrevisionen 
rekommenderar myndigheterna att utveckla sitt sätt att arbeta med föråldrade 
it-system. Riksrevisionen rekommenderar regeringen att lämna ett tydligare stöd 
i det arbetet. Nedan utvecklas dessa slutsatser. 


Bakgrund och motiv 


Det är mycket vanligt att organisationer som inte är nyetablerade har en it-miljö 
som utvecklats över tid och till stor del består av så kallade ärvda system som 
anskaffats med skilda syften och under olika epoker. Många av dessa är mer eller 
mindre oproblematiska; de levererar god nytta i verksamheten samt kan driftas, 
underhållas och vidareutvecklas på ett relativt effektivt och säkert sätt. Andra ärvda 
system är föråldrade eller utdaterade och riskerar att bli ett betydande 
effektivitetsproblem. Det beror på att ett föråldrat system kräver relativt sett mer 
resurser, vilket i sin tur påverkar en fortsatt effektiv utveckling av it-miljön. 
Utvecklingen på it-området är som bekant snabb och det krävs att resurser kan 
avsättas till innovation. Förekomsten av föråldrade system kan också påverka 
informationssäkerheten. 


Ambitionerna är höga på området — riksdagens mål är att Sverige ska vara bäst 

i världen på att använda digitaliseringens möjligheter. Regeringen har också pekat 
på vikten av tydligare statligt ledarskap i förändring och fortlöpande analys av 
digital mognad och behov av åtgärder. Regeringen har även uttryckt att 
”Informations- och cybersäkerhetsarbete är en nödvändig verksamhet för att värna 
kvaliteten och effektiviteten hos samhällets funktioner och en förutsättning för att 
digitaliseringens möjligheter ska kunna tas tillvara”. 


Den betydelse digitalisering har givits av såväl riksdag som regering i kombination 
med att föråldrade it-system kan utgöra ett stort hinder för en effektiv 
digitalisering har varit bärande skäl för Riksrevisionen att 

genomföra granskningen. 
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Syfte och metod 


Syftet med granskningen har varit att undersöka förekomsten av föråldrade 
it-system i statsförvaltningen samt om myndigheterna och regeringen har vidtagit 
tillräckliga åtgärder för att dessa system inte ska utgöra ett hinder för en effektiv 
digitalisering. De frågeställningar som besvaras i granskningen är om: 


e myndigheterna har vidtagit tillräckliga åtgärder för att hantera problematik 
kopplad till föråldrade it-system? 

e regeringen har vidtagit tillräckliga åtgärder för att hantera problematik 
kopplad till föråldrade it-system? 


Granskningen genomfördes i tre steg. Först gjordes fallstudier hos 
Pensionsmyndigheten och Skatteverket. Dessa användes sedan för att konstruera 
en enkät som skickades ut till totalt 64 myndigheter. Avslutningsvis skickade 
Riksrevisionen ett frågeformulär till Regeringskansliet för att undersöka vilken 
kunskap regeringen har kring föråldrade it-system och vilka åtgärder regeringen 
har vidtagit. 


Granskningens resultat 


Förekomsten av föråldrade it-system 


Föråldrade verksamhetskritiska it-system innebär en stor risk för 
effektivitetsproblem i det att man tvingas använda proportionerligt sett mer 
resurser bara för att vidmakthålla systemet. Det finns därför goda skäl att anta 

att föråldrade it-system innebär en hög risk för bristande hushållning med statens 
medel. Det innebär även en undanträngning vad gäller myndighetens 
innovationsförmåga i form av att kunna utveckla nya it-system. Föråldrade 
it-system innebär dock inte bara en risk för den enskilda myndigheten utan 
problem hos en myndighet kan innebär stora konsekvenser för möjligheterna att 
bedriva verksamhet hos en annan myndighet eller privat aktör. 


Granskningen visar att det förekommer föråldrade it-system hos ett stort antal 
myndigheter. Hos många myndigheter är dessutom ett eller flera 
verksamhetskritiska it-system föråldrade. Vad Riksrevisionen vet är detta 

ny kunskap och ingen har således haft en bild av problemets utbredning 

i statsförvaltningen. 


It-kostnaderna för de myndigheter som ingår i Riksrevisionens granskning är 
ungefär 19 miljarder. De effektivitetsbrister som kan kopplas till föråldrade 
it-system är därmed väsentliga ur ett budgetperspektiv. Föråldrade it-system 
innebär även en risk ur ett informationssäkerhetsperspektiv. Riksrevisionen 
menar att föråldrade it-system på en aggregerad nivå innebär ett väsentligt 
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effektivitetsproblem för staten och ett hinder för en fortsatt effektiv och 
säker digitalisering. 


Myndigheterna har inte rätt arbetssätt 


Riksrevisionens slutsats är att en stor del av de undersökta myndigheterna inte 
arbetar på rätt sätt med utveckling och förvaltning av it-stödet. De använder inte de 
verktyg för verksamhetsutveckling som finns för att skapa sig en uppfattning om 
hur it-stödet ska bidra till kärnverksamhetens måluppfyllelse på bästa sätt. 
Därmed saknar en stor andel av de granskade myndigheterna en övergripande 
beskrivning av hur strategier, verksamhetsprocesser och system hänger ihop. Det 
innebär i sin tur man får svårigheter att analysera och förstå hur förändringar 
påverkar verksamhetens mål och det blir därmed också svårare att definiera 

ett framtida önskvärt läge. 


Myndigheterna saknar processer för att löpande utvärdera it-stödets 
ändamålsenlighet 


Av de 64 myndigheter som besvarat enkäten säger 69 procent att man inte har 
någon beslutad modell för att hantera och fatta beslut om it-system från det att 
systemet utvecklas till dess att det avvecklas, vad som brukar kallas 
livscykelhantering. Det tyder enligt Riksrevisionen på att livscykelhantering inte 
genomförs på ett strukturerat och metodiskt sätt. De perspektiv som är rimliga att 
löpande ta hänsyn till och göra bedömningar mot i sin livscykelhantering saknas 
för ungefär 40 till 60 procent av myndigheterna. Myndigheterna är bäst på det rent 
tekniska, vilket skulle kunna tyda på att livscykelhanteringen främst görs utifrån 
it-avdelningens perspektiv, snarare än utifrån en analys av myndighetens 
övergripande behov. Det finns också brister i arbetet med riskanalyser. En så stor 
grupp som en dryg tredjedel av myndigheterna genomför endast återkommande 
riskanalyser för något eller några verksamhetskritiska system eller inga alls. Lika 
många kan heller inte bryta ner it-kostnader på den detaljerade nivå som behövs 
för att fatta bra beslut. Utan återkommande riskanalyser och detaljerade uppgifter 
om kostnaderna är det svårt att göra meningsfulla utvärderingar av it-stödets 
ändamålsenlighet. 


Myndigheterna tar inte medvetet ställning till sina it-system 


Närmare 60 procent av myndigheterna saknar livscykelplaner för annat än något 
eller några verksamhetskritiska system. Av de myndigheter som tagit fram sådana 
planer bedömer 60 procent att planerna inte är tillfredsställande annat än för 
några enstaka system eller inga alls. Avsaknaden av livscykelplaner och andra 
planeringsunderlag hos många myndigheter kombinerat med brister i den 
livscykelhantering som faktiskt görs, innebär att myndigheterna överlag inte kan 
anses ha gjort medvetna och uttryckliga ställningstaganden kring sina it-system. 
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Regeringen har inte vidtagit tillräckliga åtgärder 


Riksrevisionens bedömning är att de ansvariga departementen och därmed även 
regeringen saknar tillräcklig kunskap om såväl förekomsten som konsekvenserna 
av föråldrade it-system. Regeringskansliet uppger sig ha kunskap om förekomsten 
av föråldrade it-system i 15 av de 31 myndigheter som Riksrevisionen har 
identifierat som en riskgrupp. Bortsett från 4 fall har Regeringskansliet lämnat 

så övergripande svar att det inte framgår att de vet vilka konsekvenserna är. 


Företrädare för Regeringskansliet har påtalat att regeringen inte utövar styrning av 
myndigheterna på ett sätt som innebär att de talar om för myndigheterna hur de 
ska utforma sin it-miljö eller vilka it-system de ska välja. Regeringen har i stället 
fokuserat på att styra övergripande frågor som villkor för informationsutbyte som 
i förlängningen kan ha styrande effekt även på enskilda it-system. Detta 
styrningsperspektiv ligger i linje med den svenska förvaltningsmodellen som 
bygger på att myndigheterna i stor utsträckning självständigt får utforma sin 
verksamhet. Det direkta ansvaret för att se till att it-system inte blir föråldrade eller 
att se till att undanröja eller reducera de problem som kommer med föråldrade 
it-system är enligt samma logik varje enskild myndighets ansvar. 


Riksrevisionen konstaterar samtidigt att närmare hälften av myndigheterna 
uppger att problem i enskilda it-system eller it-miljön i stort har ganska eller 
mycket stor påverkan på det fortsatta digitaliseringsarbetet. Granskningen visar att 
föråldrade it-system är ett utbrett problem som har stor påverkan, inte bara på den 
enskilda myndigheten utan problemet får även förvaltningsövergripande 
konsekvenser. Slutsatsen blir därför att myndigheterna hittills inte själva har klarat 
av att effektivt hantera problematiken kring föråldrade it-system. 


Utifrån de iakttagelser Riksrevisionen har gjort verkar regeringen ha bristande 
kunskap om den risk som föråldrade it-system utgör för statsförvaltningen som 
helhet. Utifrån förekomsten av föråldrade it-system hos de granskade 
myndigheterna, regeringens bristande kunskap och riksdagens och regeringens 
ambitiösa mål för digitaliseringen anser Riksrevisionen att regeringen bör 
säkerställa att man har kunskap kring hur myndigheterna hanterar problematiken 
kring föråldrade it-system. Utan sådan kunskap försvåras regeringens möjligheter 
att styra även på en övergripande nivå. I ett andra steg bör regeringen överväga att 
tillhandahålla gemensamma verktyg eller modeller för att underlätta 
myndigheternas arbete. Ett gemensamt arbetssätt, inklusive gemensamma sätt att 
utvärdera och återrapportera, skulle också ge regeringen ökade möjligheter att 
jämföra myndigheterna med varandra och därmed göra det möjligt för regeringen 
att försäkra sig om att digitaliseringen av statsförvaltningen är effektiv och avgöra 
hur regeringsstyrningen ska utformas. 


Riksrevisionens bedömning är därmed att regeringen inte kan anses ha vidtagit 
tillräckliga åtgärder för att säkerställa att problemen reducerats eller undanröjts. 
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Rekommendationer 


Riksrevisionen riktar rekommendationer till de granskade myndigheterna och 
regeringen. 


Rekommendationer riktade till myndigheterna 
Myndigheterna bör ta fram och använda de verktyg som behövs för att bedöma 


hur it-stödet ska bidra till kärnverksamhetens måluppfyllelse. 


Myndigheterna bör ha en process för att löpande utvärdera hur väl it-stödet 
bidrar till kärnverksamhetens måluppfyllelse. 


Myndigheterna bör utifrån en sådan process göra uttryckliga och medvetna 
ställningstaganden kring sin it-miljö och behovet av eventuella åtgärder. 


Rekommendationer riktade till regeringen 

Regeringen bör överväga att ta fram ett stöd för myndigheterna för att underlätta 
för dem att arbeta effektivt med problemen kring föråldrade it-system och den 
fortsatta digitaliseringen. 

Regeringen bör ge lämplig aktör i uppdrag att följa och utvärdera frågor kopplade 
till föråldrade it-system i statsförvaltningen för att säkerställa löpande kunskap om 
myndigheternas förutsättningar och situation. 
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1 Inledning 


1.1 — Motiv till granskning 


Alla myndigheter och andra organisationer som inte är direkt nyetablerade har 
sannolikt en it-miljö som utvecklats över tid och till stor del består av så kallade 
ärvda system, det vill säga system som anskaffats med skilda syften och under 
olika epoker. Många av dessa är fortfarande mer eller mindre oproblematiska; 

de levererar god nytta i verksamheten samt kan driftas, underhållas och 
vidareutvecklas på ett relativt effektivt och säkert sätt, med mera. Andra ärvda 
system är av olika skäl föråldrade eller utdaterade. Förekomsten av föråldrade 
system! kan potentiellt påverka både digitaliseringstakten och 
informationssäkerheten. I en rapport från Riksrevisionens motsvarighet 

i Storbritannien, National Audit Office (NAO), konstaterades till exempel att 
myndigheterna i Storbritannien till stora delar är beroende av föråldrade it-system 
och att dessa är förenade med risker avseende både informationssäkerhet och 
effektivitet.: NAO konstaterar i sin rapport att de föråldrade it-systemen gör 
myndigheterna mindre flexibla, mer sårbara för cyberhot och beroende av dyra 
långtidskontrakt med it-företag. Riksrevisionens motsvarighet i USA, United 
States Government Accountability Office (GAO), har på liknande sätt konstaterat 
att samma sak gäller för USA:s federala myndigheter.? 


Riksrevisionen har utgått ifrån att NAO:s och GAO:s slutsatser sannolikt är 
relevanta även för svensk förvaltning och svenska myndigheter, samtidigt som 
det enligt vad Riksrevisionen erfar inte pågår något arbete som berör frågan 
om föråldrade it-system kopplat till digitalisering och informationssäkerhet. 
Riksrevisionen har inte heller kunnat finna någon samlad kunskap om 
omfattning, orsaker till och konsekvenser av föråldrade it-system 

i statsförvaltningen. 


Riksdagen har beslutat om målsättningen att Sverige ska vara bäst i världen på att 
använda digitaliseringens möjligheter." Samtidigt har regeringen pekat på vikten 
av tydligare statligt ledarskap i förändring och fortlöpande analys av digital 


1 Med begreppet föråldrat system avser Riksrevisionen ett verksamhetskritiskt system/applikation 
som inte uppfyller organisationens krav på vad systemet skulle behöva prestera i nuläget 
i verksamheten. Definitionen innebär inte att systemet nödvändigtvis behöver vara gammalt utan tar 
mer sikte på att it-systemet inte uppfyller verksamhetens behov. Att systemet är gammalt kan vara 
en förklaring till det men det kan även bero på att systemet är specialanpassat/egenutvecklat, att det 
saknas support eller liknande. 

2. National Audit Office, Managing the risk of legacy ICT to public service delivery, National Audit Office, 
HC 539 Session 2013-14 11, september 2013, s. 5. 

3 United States Goverment Accountability Office: Information technology — Federal Agencies Need 
to Address aging Legacy Systems, GAO-16-468 May 2016, s. 11. 

4. Prop. 2011/12:1, utg. omr. 22, bet 2011/12:TU 1, rskr.2011/12:87. 
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mognad och behov av åtgärder.” Regeringen har även uttryckt att ”informations- 
och cybersäkerhetsarbete är en nödvändig verksamhet för att värna kvaliteten och 
effektiviteten hos samhällets funktioner och en förutsättning för att 
digitaliseringens möjligheter ska kunna tas tillvara”.s 


Den betydelse digitalisering har givits av såväl riksdag som regering sett i ljuset av 
att föråldrade it-system verkar utgöra ett stort hinder har varit ett bärande skäl för 
Riksrevisionen att genomföra granskningen. 


1.2 — Syfte och frågeställningar 


Syftet med granskningen är att undersöka förekomsten av föråldrade it-system 

i statsförvaltningen samt om myndigheterna och regeringen har vidtagit 
tillräckliga åtgärder för att dessa system inte ska utgöra ett hinder för arbetet med 
att uppnå en effektiv digitalisering. Granskningens frågeställningar/- 
revisionsfrågor är: 


e Har myndigheterna vidtagit tillräckliga åtgärder för att hantera problematik 
kopplad till föråldrade it-system? 


e Har regeringen vidtagit tillräckliga åtgärder för att hantera problematik 
kopplad till föråldrade it-system? 


Med att vidta tillräckliga åtgärder avser Riksrevisionen åtgärder som syftar 

till att förebygga att systemen blir föråldrade såväl som åtgärder som vidtas för 
att reducera eller undanröja problem kopplade till att it-systemen har 

blivit föråldrade. 


1.3 Bedömningsgrunder 


Den övergripande utgångspunkten för granskningen är riksdagens och 
regeringens mål för digitalisering och för informations- och cybersäkerhet. 
Riksdagen har beslutat om målsättningen att Sverige ska vara bäst i världen på att 
använda digitaliseringens möjligheter.” Regeringen har uttryckt att ”informations- 
och cybersäkerhetsarbete är en nödvändig verksamhet för att värna kvaliteten och 
effektiviteten hos samhällets funktioner och en förutsättning för att 
digitaliseringens möjligheter ska kunna tas tillvara”.3 


Riksrevisionens bedömning utifrån målen är att myndigheterna ska digitalisera 
i så stor utsträckning som det är möjligt i de fall man bedömer att nyttan 


För ett hållbart digitaliserat Sverige — en digitaliseringsstrategi. Skr 2017/18:47, s. 31. 
Nationell strategi för samhällets informations- och cybersäkerhet, skr. 2016/17:213. 
Prop. 2011/12:1, utg. omr. 22, bet 2011/12:TU 1, rskr.2011/12:87. 

Skr. 2016/17:213, s. 6. Har behandlats av riksdagen i bet. 2017/18:FÖUA. 
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överstiger kostnaderna, samt att de system som finns i verksamheten ska vara 
tillfredsställande ur ett informationssäkerhetsperspektiv. 


Det finns varken vad gäller digitalisering eller informationssäkerhet tydligt 
specificerade nivåer eller kvantifierade mål kring i vilken exakt omfattning 
myndigheter ska digitalisera eller vilken exakt nivå informationssäkerheten ska 
vara på. Tillgängliga resurser är inte oändliga och i slutändan så är det upp till 
respektive myndighet att göra en riskavvägning. Myndighetens ledning har dock 
ett krav på sig att verksamheten bedrivs effektivt samt att myndigheten hushållar 
väl med statens medel.? Riksrevisionen delar därför e-delegationens syn på hur 
verksamhetsutveckling ska bedrivas: 


En utgångspunkt är att allt utvecklingsarbete ska vara väl förankrat 

i verksamhetsmål och underbyggt med goda beslutsunderlag. 
Offentliga organisationer behöver arbeta med målanalyser och 
koppla förslag till förändringsinsatser tydligare till verksamhetens 
mål i flera nivåer. Utveckling av verksamheten måste vara en 
naturlig del av chefers ansvar för verksamheten och grunda sig på en 
målbild för hur man önskar sig att verksamheten ska se ut. Stora 
krav finns därför också på att veta hur verksamheten ser ut i nuläget, 
det vill säga att mäta rätt saker för att ”ta tempen” på verksamheten. 
Det är i gapet mellan nuläge och målbild som förändringsbehovet 
kan definieras.!0 


Riksrevisionens granskning har därför i huvudsak varit inriktad mot att undersöka 
om myndigheterna har tagit ställning till hur föråldrade it-system ska hanteras för 
att uppnå en informationssäkrad digitalisering, snarare än att pröva huruvida 
myndigheternas beslut i enskilda fall är bra eller dåliga. För att myndigheterna ska 
kunna anses ha tagit ställning på ett tillfredsställande sätt krävs enligt 
Riksrevisionen att man har vidtagit ett antal åtgärder. Dessa åtgärder utgör således 
bedömningsnormerna i granskningen och är att myndigheterna: 


1. har en uppfattning om hur it-stödet ska bidra till kärnverksamhetens 
måluppfyllelse 

2. har processer för att löpande utvärdera hur väl it-stödet bidrar till 
kärnverksamhetens måluppfyllelse 

3. utifrån resultatet av ett arbete enligt de två ovan nämnda punkterna gör 
medvetna och uttryckliga ställningstaganden kring sina it-system 

4. lyfter de problem man inte själv kan hantera till regeringen. 


Vad avser regeringen utgår granskningen från att regeringen genom sin styrning 
ska förverkliga riksdagens mål. Statlig förvaltning handlar enligt regeringen om 


3-3 f myndighetsförordning (2007:515). 
10 E-delegationen, Vägledning i nyttorealisering, version 2.0, E-delegationen, 2014 
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att ge statliga myndigheter verktyg och förutsättningar för att kunna genomföra de 
beslut som regeringen och riksdagen har fattat.!! För att kunna uppnå detta krävs 
enligt Riksrevisionen att regeringen: 


e har kunskap om omfattning och konsekvenser gällande förekomsten av 
föråldrade system i förvaltningen 

e har kunskap om vilka orsaker till problemen som myndigheterna kan 
hantera själva och vilka som kräver insatser från regeringen 

e utifrån problembilden säkerställer att myndigheterna faktiskt vidtar de 
åtgärder de själva råder över, eller vidtar åtgärder för att undanröja de hinder 
som myndigheterna inte själva kan hantera. 


1.4 Metod och genomförande 


Granskningen har genomförts i tre olika moment. Granskningens inledande 
moment har bestått av fallstudier hos Pensionsmyndigheten och Skatteverket. 

I nästa moment har erfarenheterna från fallstudierna använts för att konstruera en 
enkät som har skickats ut till total 64 myndigheter. Som ett tredje och sista 
moment har Riksrevisionen sedan skickat ett frågeformulär till Regeringskansliet 
för att undersöka vilken kunskap regeringen har kring föråldrade it-system och 
vilka åtgärder regeringen har vidtagit. Riksrevisionen har även genomfört 
intervjuer med företrädare för Regeringskansliet för att komplettera bilden kring 
vilka åtgärder regeringen har vidtagit på området. 


Utöver dessa tre moment har Riksrevisionen även skickat ett antal frågor till de 
64 myndigheter som har besvarat enkäten. Frågorna har handlat om huruvida 
myndigheterna har några föråldrade it-system eller om myndigheterna inom de 
fem senaste åren har bytt ut något sådant system. Riksrevisionen har även begärt 
att få ta del av samtliga 64 myndigheters strategiska dokument som beskriver den 
nu gällande lång- och kortsiktiga inriktningen av verksamheten (strategisk plan, 
verksamhetsplan eller motsvarande dokument), myndighetens it-strategi eller 
andra dokument på strategisk nivå som beskriver myndighetens it-utveckling 
samt digitaliseringsstrategi eller motsvarande om sådan finns. Utöver detta har 
Riksrevisionen även begärt in den grunddata i form av nyckeltal som 
Ekonomistyrningsverket (ESV) har samlat in inom ramen för sitt uppdrag rörande 
it-kostnader.!? Myndigheternas svar på enkäten har sedan jämförts med de 
uppgifter som ESV har samlat in avseende myndigheternas it-kostnader och 
myndigheternas digitala mognad för att åstadkomma ytterligare djup i analysen. 


Granskningen har genomförts av en projektgrupp bestående av projektledaren 
Marcus Pettersson och projektmedarbetarna Sara Gullbrandsson och Linnea 


11 http://www.regeringen.se/regeringens-politik/statlig-forvaltning/. Hämtad 2018-01-31. 

12 It-kostnader är de kostnader som kan härledas till it-funktioner, och begränsas inte nödvändigtvis 
till it-organisationen. Kostnaderna består av kostnader inkl. avskrivningar (för materiella och 
immateriella it-investeringar) för drift, förvaltning och utveckling av it-system och utrustning. 
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Olander. Gustaf Juell-Skielse, docent i data-och systemvetenskap vid Stockholms 
universitet, har varit knuten till projektet och gett synpunkter på såväl 
ett granskningsupplägg som ett utkast till granskningsrapporten. 


Företrädare för Regeringskansliet (Arbetsmarknadsdepartementet, 
Finansdepartementet, Infrastrukturdepartementet, Justitiedepartementet, 
Kulturdepartementet, Miljö- och energidepartementet, Näringsdepartementet, 
Socialdepartementet, Utbildningsdepartementet och Utrikesdepartementet), 
Pensionsmyndigheten och Skatteverket har fått tillfälle att faktagranska och 

i övrigt lämna synpunkter på ett utkast till granskningsrapporten. 


1.4.1 Fallstudier 


Syftet med fallstudierna har varit att få en fördjupad kunskap om hur myndigheter 
hanterar föråldrade it-system och att få en bild av möjliga tillvägagångssätt och 
konsekvenser av de val som myndigheterna gör. Både Pensionsmyndigheten och 
Skatteverket har en hög it-mognad och goda förutsättningar att prioritera 

en informationssäkrad digitalisering, samtidigt som de har en omfattande och 
komplex it-miljö. Valet av fallstudiemyndigheter har således gjorts för att finna 
reella problem kopplade till föråldrade it-system såväl som för att finna goda 
exempel på hur problematiken med föråldrade it-system kan hanteras och 

en mångfald i valda lösningar. Genomförandet av fallstudier har syftat till att 
fördjupa kunskaperna kring problematiken med föråldrade it-system och hur den 
kan hanteras för att sedan kunna ta fram en enkät. Ett ytterligare syfte med 
fallstudierna har varit att kunna använda iakttagelserna för att förklara och förstå 
de svar som övriga myndigheter har lämnat i enkätsvaren på ett bättre sätt. 


Utgångspunkten var från början att försöka göra en liknande undersökning som 
den brittiska revisionsmyndigheten!? och belysa tre tillvägagångssätt att hantera 
föråldrade it-system (en fallstudie per tillvägagångssätt)!t I det inledande skedet av 
granskningen valdes därför tre myndigheter ut för fallstudier. Dessa tre var 
Pensionsmyndigheten, Skatteverket och Polismyndigheten. Polismyndigheten 
lämnade dock enligt Riksrevisionens uppfattning inte det stöd som efterfrågades 
och Riksrevisionen valde därför att avbryta fallstudien. Riksrevisionen bedömer att 
bortfallet av Polismyndigheten som fallstudie har inneburit ett bortfall av viktiga 
iakttagelser, med tanke på att Polismyndigheten har bytt ut föråldrade it-system 
såväl som att myndigheten fortfarande har kvarvarande föråldrade it-system 

i verksamheten. Riksrevisionen bedömer dock samtidigt att de iakttagelser som 


13 National Audit Office: Managing the risk of legacy ICT to public service delivery, HC 539 session 
2013-14 11 september 2013. 

14 De tre tillvägagångssätten var att inte vidta några åtgärder, att förbättra och underhålla (man kan 
exempelvis bygga nya system eller applikationer runt om legacy-systemet för att uppnå eftersträvad 
funktionalitet) samt att byta ut/ersätta systemet. 
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gjorts hos Pensionsmyndigheten och Skatteverket har varit tillräckliga för att 
uppfylla fallstudiernas syfte. 


En granskning av hanteringen av föråldrade it-system behöver ta hänsyn till den 
omkringliggande kontexten, det vill säga myndighetens totala it-miljö, för att man 
ska kunna göra en rättvisande bedömning. Det innebär att granskningen har 
innefattat den övergripande styrningen och förvaltningen av myndighetens 

hela it-miljö. 


I fallstudierna har förvaltningsplaner eller motsvarande dokumentation varit 
en central del av granskningen.! Genomgången har även omfattat 
systemdokumentation, riskanalyser, beslut, underlag för nyttorealisering, 
strategiska planer och budgetunderlag med mera. Vi har även intervjuat 
nyckelpersoner på olika nivåer för att få deras uppfattning om hanteringen 
av it-systemen. Intervjuer har gjorts med representanter för: 


e operativ nivå i form av exempelvis objektspecialister eller it-specialister 

e beslutsnivå i form av förvaltningsledare 

e budgetnivå i form av objektägare 

e säkerhetsfunktionerna i form av it-säkerhetsansvarig och 
informationssäkerhetsansvarig. 


Minnesanteckningar från intervjuerna har jämförts sinsemellan utifrån vem 
som har varit respondent såväl som med den dokumentation som har begärts 
från myndigheten för att undersöka eventuell samstämmighet eller 
eventuella diskrepanser. 


Fallstudierna har haft för avsikt att belysa såväl faktiska beslut som ”icke-beslut”, 
det vill säga att myndigheterna inte formellt sett har fattat beslut kring att behålla 
eller byta sitt föråldrade system men att systemet trots det fortsätter användas 

i verksamheten. ”Icke-besluten” har undersökts genom att kontrollera om det 
finns underlag/riskanalyser som tar hänsyn till fördelar och nackdelar med 
nuvarande system i förhållande till alternativa tillvägagångssätt. 


De fördjupade kvalitativa fallstudier har bidragit med viktiga insikter till den 
kvantitativa undersökningen i form av enkät. Fallstudierna har även bidragit till 
ökad förståelse av de svar myndigheterna sedan har lämnat i enkäten. 


15 Pm3 är en modell för att organisera en styrbar och effektiv förvaltningsverksamhet. Utgångspunkten 
i pm3 är att styrning av verksamhetsprocesser och it-system bör ske gemensamt och man delar 
därför in verksamheten i olika förvaltningsobjekt. Ett förvaltningsobjekt består av både 
verksamhetskomponenter och it-komponenter. För varje förvaltningsobjekt upprättas normalt 
en årlig förvaltningsplan som innehåller målen med förvaltningsverksamheten i förhållande till 
myndighetens övergripande mål, vilka åtgärder som behöver vidtas för att uppnå målen samt vilken 
budget som finns att tillgå. Efter verksamhetsåret följs planen upp och man fattar beslut om 
en ny plan. 
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1.4.1.1 Pensionsmyndigheten 


Det it-system som Riksrevisionen i huvudsak har inriktat sin fallstudie mot är 

ett system som används för att administrera förmånen bostadstillägg. 
Pensionsmyndigheten har haft problem med förmånen bostadstillägg för 
pensionärer allt sedan myndighetens bildande. Problemen yttrar sig både genom 
att handläggningstiderna är långa och att andelen felutbetalningar är stor. För 
Pensionsmyndigheten handlar handläggningen till stor del om ett manuellt 
förfarande att lägga in och kontrollera inskickade uppgifter. Uppgifterna som 
sänds in av de sökande i pappersform måste till exempel läggas in manuellt 

i systemet och mycket av de nödvändiga beräkningarna sker utanför det egentliga 
it-stödet i enklare Excelbaserade beräkningsverktyg för att sedan manuellt föras 
tillbaka till it-stödet. Ärendeframdriften och journalföringen är inte heller 
automatiserade utan görs manuellt av handläggare. Det medför risk för felbeslut 
och att ärenden blir fördröjda. It-stödet har inte heller mekanismer som 
underlättar för handläggare att se när det är nödvändigt att göra efterkontroller för 
att undvika felutbetalningar. 


It-systemet (BOTP) som Pensionsmyndigheten använder för att handlägga 
förmånen bostadstillägg delas av myndigheten och Försäkringskassan, som 
hanterar andra gruppers bostadstillägg. Det är utvecklat av Försäkringskassan 
under 1990-talet och 2008 genomfördes en migrering från det ursprungliga 
Cobol-systemet!$ till en modernare plattform. Försäkringskassans motiv till att 
göra en migrering utan att tillföra någon ny funktionalitet var att man ville 
undvika störningar i verksamheten.!7 Det sättet migreringen genomfördes på har 
gjort det svårt att utveckla ny funktionalitet i BOTP till rimliga kostnader. I den 
omfattande analys av Pensionsmyndighetens systemstöd hos Försäkringskassan 
som gjordes 2012 bedömdes utvecklingsbehovet av BOTP som stort redan då med 
hänvisning till behov av automatisering och ny funktionalitet.!8 


Pensionsmyndigheten kan sägas ha arbetat aktivt med att försöka förbättra 
hanteringen av bostadstillägg sedan 2012. Effektiviteten och kvaliteten 

i hanteringen av förmånen var dock fortsatt under acceptabel nivå och 
förbättringsåtgärder var fortsatt nödvändiga. Under 2013 gjordes en analys av 
it-stödet BOTP, som indikerade att informationsmodellen behövde ändras 

i grunden men att det var både möjligt och rekommenderat att bygga vidare på 
befintligt system.!? 


16 COBOL är ett programspråk som skapades 1959 och var på 1960-talet och 1970-talet det 
dominerande programspråket för affärssystem. 

17 Intervju med företrädare för Pensionsmyndigheten 2018-11-08. 

18 Pensionsmyndigheten och Försäkringskassan, Pensionsmyndighetens systemstöd hos 
Försäkringskassan, Pensionsmyndigheten, 2012, s. 67. 

19 Pensionsmyndigheten, BTY/P1, Ny hantering av bostadstillägg Verksamhetsanalysrapport, PID139365, 
Pensionsmyndigheten, 2014, s. 5. 
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Efter ungefär två år av olika projekt kring hur det befintliga systemstödet och 
verksamhetsprocesserna skulle kunna förbättras meddelade Försäkringskassan att 
de inte längre kunde rekommendera en vidareutveckling av det befintliga BOTP. 
Frågan togs upp för beslut hösten 2016 på Pensionsmyndighetens ledningsgrupp 
och man förordade då att ta fram både en ny lösning för ärendehanteringen och 
en ersättare för BOTP i sin helhet. Beslut att utreda denna väg och avsluta övriga 
åtgärder togs. 


Långsiktigt har vi diskuterat fyra huvudvägar för det långsiktiga 
systemet för bostadstillägg. En är att bygga på vårt befintliga system, 
enligt den modell vi gjort för övrig ärendehantering. Det är den 
lösning vi främst jobbat efter. Ett annat alternativ är att bygga om 
vårt system och inte bara bygger på det. En tredje väg är att bygga ett 
helt nytt system. Och en fjärde är att inte göra något alls. 


Det visar sig dock att det blir mycket komplicerat och därmed dyrt 
och riskfyllt att bygga på det befintliga systemet, det vill säga den 
lösning vi främst jobbat på. Det krävs till exempel sex timmars test 
för varje utvecklingstimme, och därför är detta något som vår 
leverantör Försäkringskassan inte rekommenderar. 


Som läget är nu, så framstår det som bäst att bygga ett nytt system — 
vilket man kan göra på olika sätt med eller utan Försäkringskassan. 
Det alternativet ska nu belysas fram till årsskiftet.20 


Enligt uppgifter från Försäkringskassans it-arkitekt! med ansvar för BOTP var 
problemen med att bedriva vidareutveckling i det befintliga systemet välkända hos 
personer på Försäkringskassan sedan flera år tillbaka. Vilken information som 
delgivits Pensionsmyndigheten är dock oklart för honom. 


Den förstudie som sedan genomfördes landade i rekommendationer om att 
utveckla helt nya applikationer hos både Försäkringskassan och 
Pensionsmyndigheten.2 Det nya it-stödet för bostadstillägg för pensionärer fick 
namnet NBT och ett utvecklingsprojekt startade april 2017 med beräknad 
slutleverans hösten 2019.2 


1.4.1.2 Skatteverket 


Fallstudien på Skatteverket har inte varit inriktad mot ett enskilt it-system på 
samma sätt som hos Pensionsmyndigheten, utan har mer övergripande berört 
it-system inom momshantering, folkbokföring och inkomstbeskattning. 


20 Pensionsmyndigheten, Utdrag från protokoll från ledningsgruppsmöte 20160908, 
Pensionsmyndigheten, 2016. 

21 Intervju med representant för Försäkringskassan 2019-04-12. 

22 Pensionsmyndigheten, Förstudierapport F-NBT, Pensionsmyndigheten, 2017, s. 5. 

23 Pensionsmyndigheten står för utvecklingen av ärendehantering och processlogik och 
Försäkringskassan utvecklar beräkningsstödet. 


RIKSREVISIONEN 17 


FÖRÅLDRADE IT-SYSTEM — HINDER FÖR EN EFFEKTIV DIGITALISERING 


Beskrivningen har därmed inte heller samma detaljeringsgrad som för 
pensionsmyndigheten. De it-system som har berörts av fallstudien är Tina 
(Taxering i ny applikation) inom inkomstbeskattningen, Poff inom 
folkbokföringen och MomsAG inom momshanteringen. Tina har studerats mer 
som ett exempel på en process för att ersätta föråldrade system snarare än med 
fokus på själva systemet. Poff och MomsAG har studerats utifrån att de rent 
faktiskt är föråldrade it-system och att Skatteverket också bedömer dem på det 
sättet. Tanken har även med dessa system varit att beskriva ”vad som händer runt 
omkring it-systemet” snarare än själva systemet i sig. 


Tina är ett system som i huvudsak har utvecklats under perioden 2011 till 2014. 
Tidigare fanns det ett femtontal olika tekniska applikationer som stöd för att 
handlägga inkomstbeskattningsärenden. De applikationerna byggdes under 1980-, 
1990- och 2000-tal i olika tekniska miljöer. Trots de många systemen så utfördes 
ändå flera arbetsuppgifter manuellt. Sammantaget så innebar det att 
medarbetarna hade en mycket komplicerad miljö att arbeta i och att mycket tid 
gick åt till andra arbetsuppgifter än själva handläggningen. Ny lagstiftning var 
tvungen att implementeras i flera olika system och dubbellagring och 
transfereringar av information var vanligt förekommande. Med det som bakgrund 
påbörjades en första förstudie, benämnd Föntax?" vid millennieskiftet. Den följdes 
sedan av fnysrapporten?” och arbetet med förnyelsen?é. Resultatet av dessa arbeten 
landade sedan i Tinaprogrammet som skapades 2005. Programmet driftsatte de 
första delarna för inkomstdeklaration 2 (INK2)2 i Tina under våren 2008. De 
första driftsättningarna var inte helt lyckade. Användarna hade synpunkter på 
både funktionaliteten och systemet som sådant. Under hösten 2009 upphörde 
programmet och inom förvaltningen dedikerades arbetet till att förbättra befintlig 
funktionalitet. Två tekniska granskningar, en intern och en extern, gjordes också 
då systemet upplevdes som segt och instabilt av användarna. Avsikten var att 
utvärdera om Tina lämpade sig för ytterligare expansion. Båda granskningarna 
kom fram till att så var fallet om vissa åtgärder vidtogs, vilket också skedde. Under 
våren 2010 beställde produktionsavdelningen (PA) en fördjupad förstudie för att 
utreda om och i så fall till vilka delar, i vilken takt, till vilken omfattning samt 

i vilken ordning som Tinaapplikationen skulle expandera inom 
inkomstbeskattningsområdet på tre års sikt. Målet med uppdraget var även att 
säkerställa att Tina utvecklades på sådant sätt att applikationen skulle kunna 
användas som en generell plattform inom Skatteverkets verksamheter i framtiden. 


24. FÖNTAX = Förstudie nytt taxeringssystem. 

25 Fnys = Förnyelsen, skedde under 2002-2003. 

26 Förnyelsearbetet pågick under 2004 och 2005 och indelades i uppdragen mottagning, uppföljning 
och urvalen. I det här arbetet ”föddes” filöverföringstjänsterna för kontrolluppgifter och 
näringsidkare. 

27. Inkomstdeklarationsblankett som används av aktiebolag, ekonomiska föreningar m.fl. 
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Under våren 2011 började projektet arbeta och Tina har varit i drift hos 
Skatteverket sedan 2014.28 


Folkbokföringens it-stöd är indelat i tre applikationsområden: Folke, Poff och 
Navet. Navet innehåller applikationer, tjänster och register som syftar till att 
tillhandahålla aktuella folkbokföringsuppgifter till resten av samhället. Övriga 
förmågor inom folkbokföringen hanteras inom Poff och Folke. Poff innehåller de 
äldre delarna medan Folke innehåller de delar av it-stödet som har utvecklats de 
senaste 15 åren. Applikationsområdena Folke och Poff delar en gemensam 
databas.2? Redan i slutet av 1990-talet ansågs Poff vara omodernt. För att möta 
folkbokföringsverksamhetens framtida behov initierades kring millennieskiftet 
utvecklingen av Folke. Ambitionen var att Folke skulle bli ”det nya 
folkbokföringssystemet” och ta folkbokföringen in i det som vi idag kallar 
e-förvaltning. Därmed betraktades ”det gamla folkbokföringssystemet” Poff som 
föremål för snar avveckling. Fokus vid etablering och utveckling av Folke har varit 
externa gränssnitt”, intern effektivisering och ny funktionalitet. Skatteverket har 
generellt avgränsat insatserna till de delar som har gett störst effektvinster. 

En konsekvens av det valet är att endast marginella delar av Poff i praktiken har 
kunnat avvecklas. Då Poff trots detta till stor del har betraktats som föremål för 
avveckling har förvaltningen av systemet blivit nedprioriterad till att i princip 
endast omfatta vidmakthållande och lagtvingande anpassningar. Detta har i sin 
tur lett till en successivt ökande teknisk skuld och Poff är idag fortfarande 

ett omodernt system som än mindre motsvarar verksamhetens behov och som 
dessutom på grund av stor teknisk skuld och omodern teknisk plattform börjar bli 
svårt att vidmakthålla.?! 


Dagens hantering av moms sker i huvudsak i MomsAG-systemet. Skatteverkets 
stöd inom beskattningsområdet är uppdelat på it-komponenter och 
verksamhetskomponenter som har utvecklats och förvaltats över en period om 
mer än 20 år, utifrån de krav och förutsättningar som vid varje tidpunkt har gällt 

i fråga om organisation av verksamheten, arbetssätt, tillämpning av regelverk samt 
val av tekniska lösningar.?? Systemet MomsAG lanserades 1998. Den 
teknikplattform som systemen bygger på är utifrån ett Skatteverksperspektiv på 
väg att nå end oflife (EOL).? Som system betraktat är det ursprungligen 
konstruerat för att tillhandahålla information för handläggarna och inte för att 
interagera med en omvärld utanför Skatteverket. Det innebär att när systemet inte 


28 Skatteverket, Huvudprojekt Tina, Sammanfattande slutrapport Etapp 1—3, Skatteverket, 2015, s. 8-9. 

29 Skatteverket, Målarkitektur FbF, Skatteverket, 2018, s. 24. 

30 Utformning av en viss förbindelse mellan olika objekt. Hur man kommunicerar mellan olika 
mjukvarumoduler och/eller hårdvarumoduler. 

31 Skatteverket, Ersätta och avveckla POFF, Skatteverket, 2018, s. 5. 

32 Skatteverket, Direktiv moms 1, Skatteverket, 2018, s. 2. 

33 Tidpunkt när support för hård- eller mjukvara som tillhandahålls av en extern part upphör. 
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nyttjas av handläggarna kvällstid, tas det ner för batchuppdatering?" av registren. 
Ur ett digitaliseringsperspektiv så är den allmänna uppfattningen inom 
Skatteverket att det inte bara är den tekniska plattformen som är föråldrad, utan 
även systemet är på väg att nå end of life inom en nära framtid. Kraven på mer 
realtidsbaserad information, ökade integrationer mot omvärlden, automatisering 
av tester etcetera skapar systemkrav som på sikt endast kan uppfyllas genom 

en systemförnyelse.?> Behovet av att se över dagens momshantering och ta fram 
nya möjligheter för såväl redovisning som intern hantering av ärenden bedöms 
därmed av Skatteverket som stort. Både externa krav och förväntningar på 

en effektivare redovisning av moms och behov av intern förnyelse skyndar 

på utvecklingen.» 


1.4.2 Enkät 


I nästa moment har erfarenheterna från fallstudierna använts för att konstruera 
frågor till en enkät.?7 Tanken med enkäten har varit att kartlägga omfattning och 
konsekvenser av föråldrade it-system. De myndigheter som har undersökts genom 
enkäten är de myndigheter som har ingått i ESV:s it-kostnadsuppdrag.?? I stort sett 
alla av dessa myndigheter är skyldiga att följa förordning (2007:603) om intern 
styrning och kontroll (FISK). Förordningen omfattar stora myndigheter med stor 
påverkan på statsförvaltningen som helhet eller myndigheter där man har 
identifierat särskilda risker (exempelvis är en utpekad risk att myndigheten har 
omfattande och komplexa it-system).?? Genom att myndigheterna sedan 2015 har 
ingått i ESV:s it-kostnadsuppdrag har ESV följt dessa myndigheter och samlat 
uppgifter om myndigheternas it-miljö och it-kostnader. Myndigheterna har därför 
genomfört ett relativt omfattande arbete med att ta fram nyckeltal och följa sin 
it-verksamhet jämfört med vad som förmodligen är fallet gällande övriga 
myndigheter. Myndigheterna som ingår i it-kostnadsuppdraget står dessutom 
uppskattningsvis för någonstans mellan 62,5 och 75 procent av de totala 
it-kostnaderna i staten.”9 Enkäten har ställts till myndigheten med en instruktion 


34 Bearbetning av stor datamängd (en batch) utan mänsklig medverkan. Körningen är alltså 
inte interaktiv. 

35 Skatteverket, Förstudierapport 98-systemen, Skatteverket, 2017, s. 7. 

36 Skatteverket, Direktiv moms 1, Skatteverket, 2018, s. 2. 

37 Enkäten finns i sin helhet att ladda ner från Riksrevisionens webbplats. 

38 Det rör sig om totalt 64 myndigheter. Berörda myndigheter framgår av bilaga 1. 

39 De myndigheter som omfattas av förordningen om intern styrning och kontroll är samma 
myndigheter som är skyldiga att följa internrevisionsförordningen. Se 1 f förordningen (2007:603) 
om intern styrning och kontroll. Regeringens kriterier för att en myndighet ska omfattas av 
internrevisionsförordningen utarbetas av budgetavdelningen på Finansdepartementet och är 
uppdelade i väsentlighetskriterier och riskkriterier. Se Riksrevisionen, Internrevisionen vid myndigheter 
— En funktion som behöver stärkas, RiR 2017:5, bilaga 1. 

40 Ekonomistyrningsverket, Myndigheters strategiska it-projekt, it-kostnader och mognad, 
Ekonomistyrningsverket, ESV 2018:30, 2018, s. 6. It-kostnaderna för myndigheterna i urvalet 
i förhållande till de totala uppskattade kostnaderna på 25-30 miljarder. 
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att vissa frågor bör besvaras av myndighetens ledning eller en övergripande 
stabsfunktion och vissa besvaras av myndighetens it-chef eller motsvarande 
funktion. De flesta myndigheter har haft en bredd på vilka funktioner som har 
deltagit i beredningen av svaren i form av exempelvis arkitekter, representanter 
från enhet för verksamhetsutveckling, it-chef. De flesta myndigheter har dock 
en tyngdpunkt på it-sidan snarare än verksamhetssidan när det gäller vem som 
har deltagit i beredningen. Av de 64 myndigheter som ombads besvara enkäten 
har samtliga 64 inkommit med svar. 


Vad gäller resultaten har Riksrevisionen i avsnitt 3.5 och 4.2 valt att redovisa 
universiteten separat på grund av att de skiljer sig åt jämfört med övriga 
myndigheter.t! Universiteten kan sägas ha två it-miljöer. En utgörs av den it som 
används inom forskningen och som hanteras av forskarna själva. Den är ofta 
experimentell och ingår som en del av själva forskningen och därmed passar den 
heller inte in i en traditionell it-styrning med målarkitektur eller liknande. Den 
andra it-miljön hos universiteten är mer ”administrativ” till sin natur och liknar 
övriga myndigheters it-miljö. Utifrån detta är det svårt att fullt ut jämföra 
resultaten med andra myndigheter och Riksrevisionen har därför valt att redovisa 
universiteten separat. 


Myndigheternas svar på enkäten har även jämförts med de uppgifter som ESV har 
samlat in avseende myndigheternas it-kostnader och myndigheternas digitala 
mognad för att åstadkomma ytterligare djup i analysen. 


1.4.3 Frågeformulär och intervjuer på Regeringskansliet 


Det tredje och sista momentet har omfattat regeringens styrning. För att 
undersöka vilken kunskap regeringen och Regeringskansliet har kring 
förekomsten av föråldrade it-system i statsförvaltningen och vilka åtgärder man 
eventuellt har vidtagit har Riksrevisionen skickat ett frågeformulär till 
Regeringskansliet. Frågeformuläret skickades till de departement som ansvarar 
för de myndigheter som ingick i enkätutskicket. Departementen har besvarat 
frågor gällande 63 av myndigheterna och 64 av myndigheterna har besvarat 
enkäten. Totalt ingår 63 myndigheter i grundpopulationen. Boverket ingår inte då 
frågor om myndigheten inte ingick i utskicket till Finansdepartementet. 
Riksrevisionen har delat upp myndigheterna i sex olika kategorier. 


Regeringens agerande har även granskats genom dokumentstudier och intervjuer. 
De skriftliga underlag som innefattas i granskningen kopplat till regeringens 
styrning har varit propositioner, utredningsdirektiv, regeringsuppdrag, 
regleringsbrev, departementspromemorior och rapporter. 


4 övriga avsnitt ingår universiteten i den redovisning som görs. 
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2 Förekomsten av föråldrade it-system 


Kapitel två beskriver förekomsten av föråldrade it-system samt problem som 
typiskt sett är förknippade med sådana it-system. Kapitlet beskriver också vilka 
risker som är förenade med föråldrade it-system för den enskilda myndigheten 
såväl som för statsförvaltningen i stort. De iakttagelser som beskrivs i kapitlet 
svarar mot första delen av granskningens syfte. 


2.1 — Effektivitetsperspektivet på föråldrade it-system 


Att i dagens samhälle bedriva en verksamhet utan någon form av it-stöd är 
förmodligen knappast möjligt. De uppskattningar som har gjorts tyder på att 
statens it-kostnader för 2016 uppgick till någonstans mellan 25 och 30 miljarder” 
och it har därmed även ur ett budgetperspektiv stor betydelse. Många äldre 
it-system är byggda utifrån tanken att systemet ska hantera alla steg i en process, 
exempelvis handläggning och utbetalning av en förmån. Det innebär att systemet 
utformas utifrån hur processen såg ut när systemet skapades. Under åren kanske 
processerna förändras och därmed görs även förändringar i själva systemet. Detta 
skapar på sikt ett mycket komplext system. Äldre system saknar även många 
gånger tillräcklig dokumentation för att kunna förstå hur systemet är uppbyggt. 
Många system är baserade på gammalt programspråk och bygger ofta på att man 
måste göra batchkörningar för att uppdatera de underliggande databaserna, vilket 
innebär att systemet inte är tillgängligt under den tiden körningen görs. Att 
systemen är byggda med gammalt programspråk innebär även att det är svårt att 
få tag på medarbetare som har tillräcklig kompetens, och kostnaderna blir höga. 
Hög komplexitet och bristfällig dokumentation innebär i sin tur att förändringar 
i systemet kräver en ökad mängd tester som i sin tur leder till högre kostnader. 
Sammantaget innebär dessa faktorer att kostnaderna för att förvalta föråldrade 
system ökar med tiden. Komplexiteten innebär även att det blir svårare och svårare 
att göra förändringar i systemet, vilket i sin tur innebär att det blir svårt att 
tillgodose förändrade behov i kärnverksamheten. Om systemet har inbyggd 
verksamhetslogik? skapar man en inlåsningseffekt utifrån hur processen såg ut 
när systemet byggdes och det förhindrar i sin tur verksamhetsutveckling. 


Föråldrade it-system innebär även risker ur ett informationssäkerhetsperspektiv. 
Avsaknaden av tillräcklig systemdokumentation i kombination med hög 
komplexitet till följd av ett stort antal förändringar och påbyggnader under årens 
lopp kan innebära att systemet beter sig på ett oönskat sätt och att man inte förstår 


22 Ekonomistyrningsverket, Myndigheters strategiska it-projekt, it-kostnader och mognad, 
Ekonomistyrningsverket, ESV 2018:30, 2018, s. 6. 

43 Verksamhetslogik beskriver hur olika händelser och skeden förmodas hänga samman, från mål 
och resurser till verksamhet och från verksamhet till prestationer och effekter. 
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varför så sker. Batchkörningar kan även innebära svårigheter att kontrollera och 
upprätthålla informationskvalitet på informationen i databaserna, exempelvis 
beroende på att systemet saknar verktyg för att söka och kontrollera felaktigheter. 


Sammantaget innebär föråldrade it-system risker kopplade till såväl hushållning 
som måluppfyllelse. Ökande förvaltningskostnader utan ökad nytta innebär 
bristande hushållning med statens resurser. Det innebär även att utrymmet för 
att utveckla nya innovativa lösningar som ger verksamhetsnytta minskar. Hög 
komplexitet och låg förändringsbarhet hos föråldrade it-system innebär även att 
det är svårt att åstadkomma de effekter som riksdag och regering efterfrågar 
utifrån en ökad digitalisering. Slutligen innebär föråldrade it-system även 

en risk för att man inte kan upprätthålla en nödvändig nivå 

avseende informationssäkerhet. 


2.2 — Antal verksamhetskritiska system 


I enkätutskicket ställde Riksrevisionen frågan om hur många verksamhetskritiska 
it-system som finns i respektive myndighets kärnverksamhet. 

Ett verksamhetskritiskt system definierades som ett it-system som är avgörande 
för att verksamheten ska fungera.” Antalet verksamhetskritiska system varierar 
från 2 till 800 med ett medelvärde på 47 och en median på 11,5. Av 
myndigheternas svar framgår att ett fåtal stora myndigheter har en stor mängd 
system som påverkar medelvärdet. Medianvärdet speglar därmed bättre 
verkligheten för de flesta myndigheterna. Det vanliga verkar alltså vara att man har 
10-12 verksamhetskritiska it-system. 


44 Någon mer utförlig definition lämnades inte vilket också till viss del avspeglade sig i myndigheternas 
svar. Ett talande svar från en av myndigheterna är följande: ”Om vi med system menar större 
komponent som redigerar information och sannolikt har ett grafiskt gränssnitt där verksamheten 
kan utföra sitt arbete så blir det cirka 10 stycken. Ser vi mer till den totala miljön så handlar det om 
plus 100 komponenter och plus 300 integrationer.” Flera myndigheter har framfört att det går att 
problematisera kring såväl it-system, verksamhetskritiskt som kärnverksamhet. Riksrevisionen är 
medveten om det men samtidigt så är det i grunden varje enskild myndighet som måste bestämma 
vad man anser vara ett it-system och vad som bör anses vara verksamhetskritiskt. Riksrevisionen har 
heller inte lyckats finna någon entydig och allmänt vedertagen definition på vad som faktiskt utgör 
ett it-system. 
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2.3 Förekomsten av föråldrade it-system 


Under den inledande fasen av granskningen ställde Riksrevisionen ett antal frågor 
till de 64 myndigheter som berörs av granskningen för att undersöka 
omfattningen av föråldrade system. Två av frågorna var: 


e Finns det i verksamheten föråldrade/utdaterade system som fortfarande är 
i drift? 

e Har myndigheten de senaste fem åren avvecklat och ersatt 
ett föråldrat/utdaterat system? 


Av de 63 svar som inkom svarade ungefär 70 procent (45 stycken) att det fanns 
föråldrade system i drift hos myndigheten. Ytterligare ungefär 13 procent 

(8 stycken) svarade att man inte hade något föråldrat/utdaterat it-system men att 
man hade avvecklat ett föråldrat/utdaterat system de senaste fem åren. 
Hanteringen av föråldrade it-system är därmed en realitet för närmare åtta av 

tio myndigheter. I frågan definierades ett föråldrat/utdaterat system som 

ett verksamhetskritiskt system/applikation som inte uppfyller verksamhetens krav 
på vad systemet skulle behöva prestera i nuläget i verksamheten.” I svaren har 
myndigheterna därmed gjort en värdering av system och hur väl det presterar 
utifrån kärnverksamhetens behov. Svaren ger dock ingen ledning kring vilka de 
faktiska problemen är eller hur allvarliga de är. Det kan vara fullt rimligt att inte 
byta ut ett system även om det inte fyller alla behov verksamheten har. Ett sådant 
beslut kräver dock god inblick i vad systemet presterar och en uppfattning om vad 
som brukar kallas total cost of ownership, det vill säga alla kostnader som kan 
associeras med förvärvet, användningen och underhållet av en inköpt vara.” Det 
kräver också kunskap om vilka alternativ det finns för att eventuellt ersätta med 
ett nytt system som på ett bättre sätt stödjer verksamhetens behov och vad det i sin 
tur skulle kosta. 


2.4 Förekomsten av problem i myndigheternas it-system 


I enkäten fick myndigheterna bedöma hur väl ett antal påstående stämde in med 
myndighetens totala it-miljö. Påståendena rörde komplexitet, it-arkitektur, 
integration mellan system och om problem i enskilda it-system skapar problem 
för hela it-miljön. 


45 | förfrågan som gick ut till myndigheterna användes begreppet legacysystem, vilket definierades 
som ett verksamhetskritiskt system /applikation som inte uppfyller organisationens krav på vad 
systemet skulle behöva prestera i nuläget i verksamheten. Det kopplas ofta till att systemet är 
gammalt men kan även bero på att systemet är specialanpassat/egenutvecklat, att det saknas 
support eller liknande. 

46 Se exempelvis https://www.gartner.com/it-glossary/total-cost-of-ownership-tco. 
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Diagram 1 It-miljö, arkitektur och integration. 
Hur väl stämmer följande in på myndighetens totala it-miljö? 
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Vad gäller myndigheternas totala it-miljö uppger över två tredjedelar (45 stycken, 
71 procent) av myndigheterna att it-miljön är komplex på grund av ett stort antal 
heterogena it-system. Över hälften (34 stycken, 54 procent) av myndigheterna 
uppger också att myndighetens it-arkitektur är spretig? och närmare en tredjedel 
(19 stycken, 30 procent) att integration mellan system är svårt/fungerar dåligt. 
Ungefär en fjärdedel av myndigheterna svarar att problem i enskilda it-system 
skapar problem för hela it-miljön. Svaren tyder på att mer än hälften av 
myndigheterna har en it-miljö som visar tecken på att kanske inte ha utvecklats 
under en strikt arkitekturstyrning och utifrån en myndighetsövergripande 
koordinering." 


Utifrån arbetet med fallstudierna samt litteraturstudier kunde Riksrevisionen ta 
fram en kategorisering av vanliga problem förknippade med föråldrade it-system. 
De problemområden som typiskt sett förekom i samband med föråldrade 
it-system var: 


e brist på tillgång till rätt kompetens som kan förvalta it-systemet 

e att ett it-system som tillhandahålls av en utomstående part är på väg att nå 
end oflife 

e att systemdokumentationen är bristfällig (exempelvis inte uppdaterad eller 
saknas helt) 

e att kostnaderna för att förvalta it-systemet ökar 

e att it-systemet bygger på hårdvara/mjukvara som försvårar 
anpassning/förändring av systemet 


47 I enkäten definierades spretig som en arkitektur som strävar i flera olika riktningar till förfång 
för helheten. 
48 Se sidan 31 nedan för ett mer utvecklat resonemang kring arkitekturstyrning och koordinering. 
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e att it-systemet tillhandahålls av utomstående part vilket försvårar 
anpassningar/förändringar utifrån verksamhetens behov 

e att det finns brister som gör det svårt att upprätthålla eftersträvad nivå på 
informationssäkerhet eller it-säkerhet. 


Riksrevisionen ställde sedan frågor kring hur vanligt förekommande dessa 
problemen kopplade till föråldrade it-system var i myndigheternas 
verksamhetskritiska it-system. 


Diagram 2 Problem kopplade till föråldrade it system. 
Utgör följande omständigheter problem för myndighetens verksamhetskritiska it-system? 
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Diagram 3 Problem kopplade till föråldrade it system. 
Utgör följande omständigheter problem för myndighetens verksamhetskritiska it-system? 
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Av diagrammen framgår att samtliga sju problem förekommer för något eller 
några verksamhetskritiska system hos ungefär 60 till 90 procent av 
myndigheterna. De minst förekommande problemen är de som är kopplade till 
att ett it-system tillhandahålls av extern part. Om man bortser från problem 
kopplade till it-system som tillhandahålls av utomstående part har mer än 

80 procent av myndigheterna problem med något eller några verksamhetskritiska 
it-system. Problemen är således inte koncentrerade till ett fåtal myndigheter utan 
förekommer i en övervägande majoritet av det totala antalet myndigheter. För 
mellan 10 och 32 procent av myndigheterna förekommer de övriga fem 
problemen för en majoritet eller för samtliga av de verksamhetskritiska 
it-systemen. Problemen finns därmed inte bara hos en övervägande del av 
myndigheterna utan de förekommer även för en majoritet av de 
verksamhetskritiska it-systemen hos ett flertal myndigheter. 


2.5 — Illustrativa exempel från fallstudierna 


Båda myndigheterna har svarat att deras it-miljö är komplex och att arkitekturen 
är spretig. Vad avser integration skiljer det sig åt då Pensionsmyndigheten uppger 
att man inte anser att integration år svårt eller fungerar dåligt medan Skatteverket 
upplever problem eller svårigheter med integration. It-miljön på båda 
myndigheterna har en historik som sträcker sig årtionden tillbaka och grundar sig 
på ett arv från stordatormiljö och cobolsystem, ofta migrerade”? till java.” 
Skatteverket har dock en it-miljö som är väsentligt mer omfattande än 
Pensionsmyndighetens och dessutom en större bredd i sin kärnverksamhet, vilket 
i sig innebär en ökad komplexitet. Pensionsmyndigheten har å sin sida en it-miljö 
med starka beroenden och kopplingar till Försäkringskassans it-miljö då flera 
system både försörjer Försäkringskassans system med information och i sin tur 
hämtar information från Försäkringskassans system. Det är svårt att säga varför 
de två myndigheterna skiljer sig åt i synen på integration men en möjlig förklaring 
kan vara just omfattningen av it-miljön. En annan tänkbar förklaring kan vara att 
Skatteverket har flera starka avdelningar med olika inriktning inom myndigheten 
medan Pensionsmyndigheten i högre utsträckning har ”en kärnverksamhet”. De 
system som har undersökts inom ramen för fallstudierna är, bortsett från Tina 

i huvudsak monoliter”! och innehåller en stor mängd verksamhetslogik, det vill 


49 Att flytta över program, data eller hårdvara till någon annan tillämpning eller till någon 
annan plattform. 

50 Pensionsmyndigheten är en relativt nybildad myndighet men en stor del av it-miljön är 
en ”avknoppning” från Försäkringskassan. Java är ett programspråk för att skapa datorprogram. 

51 Med monolit avses en applikation som har all funktionalitet i en och samma modul. En monolitisk 
applikation har oftast användargränssnitt, databasaccess, lätta och tunga funktioner 
(avkodning/beräkningar) etcetera i samma applikation. Motsatsen till en monolitisk arkitektur är 
en mikroservicearkitektur. Microservices (MSA) en variant av SOA (Service-oriented Architecture) 
som bygger upp en applikation av löst kopplade tjänster. Det vill säga att en applikation är uppdelad 
i mindre delar där varje del har en specifik funktion i applikationen. Applikationen är därmed 
modulär till skillnad från en monolitisk. 
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säga system är konstruerade som ett stort system som ska hantera allting och 
systemet är utformat och designat för att passa en viss specifik 
verksamhetsprocess. Av de utpekade problemen ovan förekommer alla 

i varierande omfattning i systemen hos Skatteverket. Flera system är gamla och 
dokumentationen kring system är bristfällig. Det innebär i sin tur att det tar lång 
tid att lära sig hur systemet fungerar och därmed skapas kritiska 
personberoenden. Sättet på vilket systemen är byggda innebär att det är svårt att 
anpassa och förändra systemen och det innebär också att det är svårt att 
upprätthålla informationskvalitet. Motsvarande gäller även för 
Pensionsmyndigheten och BOTP. Systemets konstruktion och komplexitet 
innebär att man inte riktigt vet vad som händer när man gör förändringar 

i systemet. Komplexiteten innebär i sin tur att varje förändring kräver 

en oproportionerligt stor mängd tester. Systemen kan sägas ”tuffa på” utifrån hur 
de ursprungligen var tänkta att fungera men de är i praktiken mycket svåra att 
anpassa till en föränderlig verksamhet. 


2.6 Sammanfattande iakttagelser 


Utifrån syftet med granskningen kan Riksrevisionen konstatera att det 
förekommer en stor mängd föråldrade it-system hos ett stort antal myndigheter. 
De problem som normalt förknippas med föråldrade it-system förekommer även 
för en stor mängd system hos ifrågavarande myndigheter. Även om det tidigare 
fanns anledning att anta att det fanns föråldrade it-system i statsförvaltningen så 
är de resultat som framkommit i granskningen kring omfattning och utbredning 
i huvudsak ny kunskap. Det väcker i sin tur frågan kring vilken risk fenomenet 
innebär för den enskilda myndighetens verksamhet såväl som för 
statsförvaltningen som helhet. 
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3 — Styrningen av myndigheternas it-miljö 


Kapitel tre beskriver den empiri som Riksrevisionen har samlat in med avseende 
på granskningens första revisionsfråga. Kapitlet är indelat i fem avsnitt och inleds 
med tre avsnitt som kopplar till granskningens tre huvudsakliga 
bedömningsnormer avseende myndigheterna. Därefter följer ett avsnitt som berör 
konsekvenserna av föråldrade it-system och avslutningsvis finns ett avsnitt som 
beskriver vilka övergripande mönster man kan se utifrån den insamlade empirin. 
Den empiri som beskrivs i kapitlet utgörs av enkätundersökningen, fallstudierna, 
de strategiska dokument som Riksrevisionen begärt in, de grunddata i form av 
nyckeltal som ESV samlat in under it-kostnadsuppdraget samt ett antal frågor som 
Riksrevisionen tillsänt samtliga myndigheter som besvarat enkäten. 


3.1 Myndigheternas uppfattning om it-stödets roll 


En granskning av hanteringen av föråldrade it-system behöver ta hänsyn till den 
omkringliggande kontexten, det vill säga myndighetens totala it-miljö, för att man 
ska kunna göra en rättvisande bedömning. Det innebär att granskningen måste 
innefatta den övergripande styrningen och förvaltningen av myndighetens hela 
it-miljö. För att myndigheten ska kunna skaffa sig en uppfattning om hur it-stödet 
ska bidra till kärnverksamhetens måluppfyllelse behöver man ett antal verktyg till 
sitt förfogande. Exempel på sådana vedertagna verktyg är digitaliseringsstrategi, 
verksamhetsarkitektur, stadsplan och målarkitektur.5? Riksrevisionen har därför 
ställt ett antal frågor kring huruvida myndigheterna har sådana verktyg till sitt 
förfogande. Resultatet beskrivs under respektive rubrik nedan. Avsnittets 
iakttagelser hänför sig till den första bedömningsnormen (se avsnitt 1.3). 


3.1.1  Digitaliseringsstrategi 


Digitalisering handlar om mer än bara teknik och bör snarare ses som 
verksamhetsutveckling med stöd av digitala verktyg. Riksrevisionen har tidigare 
framfört att digitaliseringen måste kombineras med institutionella förändringar 
för att potentialen i de digitala tjänsterna ska kunna nyttjas på bästa sätt.” 

En digital strategi används för att dels definiera vad digitalisering innebär för 
den specifika verksamheten, dels beskriva hur verksamheten kan använda 
digitalisering för att bli mer effektiv och i vissa fall mer konkurrenskraftig.5? 


32 Se exempelvis Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., 
Boken om IT-arkitektur, 2014. 

53 Riksrevisionen, Den offentliga förvaltningens digitalisering- En enklare, öppnare och effektivare 
förvaltning?, RiR 2016:14, Riksrevisionen, 2016, s. 13. 

54 Riksrevisionen, Den offentliga förvaltningens digitalisering- En enklare, öppnare och effektivare 
förvaltning?, RiR 2016:14, Riksrevisionen, 2016, s. 30. 
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Riksrevisionen har därför ställt ett antal frågor som rör myndigheternas eventuella 
digitaliseringsstrategier. 


Diagram 4 Hur har myndigheten hanterat sina digitaliseringsfrågor? 


Digitaliseringsfrågorna hanteras inte 
i något dokument alls. 


Myndigheten har inte någon separat 
strategi men frågorna hanteras 
i andra styrande dokument. 


Bara i en separat digitaliseringsstrategi. 


Både i en separat digitaliseringsstrategi 
såväl som integrerat i andra 
styrande dokument. 
0 10 20 30 40 50 60 70 


Procent 


Riksrevisionen utgår från att ett lämpligt tillvägagångssätt är att myndigheterna 
hanterar digitaliseringsfrågor i såväl en separat strategi som integrerat i andra 
styrande dokument. Man kan samtidigt anföra att digitalisering är 
verksamhetsutveckling och att en framgångsfaktor därmed skulle vara att inte 

ha en separat strategi bara för digitalisering utan att i stället hantera digitalisering 
integrerat med övrig verksamhetsutveckling. Det är säkert en rimlig slutsats för 
en organisation med hög digital mognad, men Riksrevisionen anser att det finns 
ett värde med att även ta fram en separat strategi för att peka ut en riktning 

i organisationer med en lägre digital mognad. 


Av diagrammet framgår att i stort sett alla myndigheter säger sig hantera 
digitalisering i styrande dokument, men mer än hälften av myndigheterna saknar 
en separat digitaliseringsstrategi. Riksrevisionen ställde även frågor om huruvida 
myndigheterna hade beaktat regeringens digitaliseringsstrategi och om 
myndigheterna hade brutit ner strategin i konkreta åtgärder för att uppnå målen 
med strategin. Av de myndigheter som besvarade frågorna hade 77 procent 

(34 stycken) beaktat regeringens strategi och 60 procent (27 stycken) hade brutit 
ner strategin i konkreta åtgärder. 


Som en avslutande fråga kopplad till digitaliseringsstrategi ombads 
myndigheterna att uppge om man ansåg sig ha tillräckliga förutsättningar att 
leva upp till de krav som följer av regeringen digitaliseringsstrategi. 


35 Se även Björkdahl, )., Wallin, M. W., Kronblad, C., Digitalisering - mer än teknik, Kartläggning 
av svensk forskning och näringslivets behov, Vinnova rapport VR 2018:06, Vinnova, 2018, s. 9. 
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Av svaren framgår att 43 procent av myndigheterna bedömer att de saknar 
tillräckliga förutsättningar för att leva upp till de krav som följer av regeringens 
digitaliseringsstrategi. Myndigheterna fick möjlighet att lämna fritextsvar med 
förtydliganden kring vilka hinder man upplever och då angavs bland annat 
resurser/finansiering, lagstiftning och juridiska förutsättningar, föråldrad teknik 
som skapar tekniska problem och avsaknad av en nationell digital infrastruktur 
som skapar bättre nationell standard/ramverk så offentliga aktörer och privata kan 
skapa bättre e-tjänster som går sömlöst mellan olika aktörer i ett ekosystem som 
svårigheter. De bristande förutsättningarna utgörs av en blandning av 
institutionella förutsättningar som myndigheterna inte själva råder över och egna 
interna tillkortakommanden. 


3.1.2 Verksamhetsarkitektur, stadsplan, målarkitektur 
och informationsklassning 


It kräver, precis som vilken annan del av verksamheten som helst, styrning för att 
säkerställa att man producerar det bästa möjliga it-stödet utifrån de resurser som 
finns tillgängliga. I en mindre organisation är systemlandskapet oftast mindre 
och inte lika komplext. I en större verksamhet är organisationen indelad 

i verksamhetsgrenar. Varje enhet har ofta sin egen agenda och mål och krav att 
uppfylla. Utifrån de olika delverksamheternas olika målbilder bedrivs ett 
återkommande förändringsarbete som naturligt också kommer att påverka och 
förändra systemlandskapet. I de fall organisationen saknar en gemensam plan och 
övergripande koordinering är risken stor att systemlandskapet på sikt blir oerhört 
komplext och fragmentiserat då framväxten skett i funktionella silos” utifrån varje 
delverksamhets mål och krav. När omgivningen ändras och kanske kräver mer 
tvärfunktionell förmåga av organisationen kommer de suboptimeringar som 
införts göra sig påminda. Begränsningarna innebär att det kommer att kosta mer, 
ta längre tid och vara förknippat med större risk att genomföra förändringar 

i systemlandskapet. Verksamheten blir lidande och får brottas med långa 
omställningstider och kvalitetsproblem. Ytterst kan det handla om att it blir 

ett hinder för fortsatt utveckling av verksamheten. Att moget planera och 
koordinera utvecklingen av systemlandskapet är därför viktigt.” 


För att veta hur it kan understödja verksamheten på bästa sätt krävs därmed 

en bild av hur kärnverksamheten ser ut i form av olika processer, 
verksamhetsförmågor och liknande och hur verksamhetens utformning är tänkt 
att bidra till att uppnå de mål som finns för verksamheten. En sådan bild kan 


56 Med funktionella silos avses en uppdelad organisation där varje avdelning eller funktion arbetar 
utifrån det egna uppdraget utan koppling till en större helhet. 

37 Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., Boken om 
IT-arkitektur, 2014, s. 44. 
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manifesteras i en verksamhetsarkitektur”?, eller förenklat en form av sprängskiss 
över de olika delarna i verksamheten och hur de påverkar och understödjer 
varandra. Det finns en rad olika modeller för hur man skapar 

en verksamhetsarkitektur och hur den kan se ut.” Många av modellerna är vid 
en första anblick relativt komplicerade och kan normalt sett inte heller appliceras 
rakt av på en organisation. Riksrevisionen har därmed inte någon uppfattning 
kring vilka av dessa modeller som är mer eller mindre lämpliga, utan ser 
modellerna som ett möjligt stöd när man försöker skapa sin egen 
verksamhetsarkitektur. Att organisationen skapar sig någon form av 
verksamhetsarkitektur är dock närmast ofrånkomligt om man har som mål att 
säkerställa att it understödjer verksamheten på bästa sätt.s0 Hur man går till väga 
eller hur verksamhetsarkitekturen ser ut i slutändan är dock förmodligen av 
mindre betydelse än att arbetet faktiskt sker. Hur omfattande och detaljerad 

en sådan verksamhetsarkitektur bör göras är en avvägning mellan den 


arbetsinsats som krävs och den nytta man bedömer att en framtagen arkitektur 
faktiskt bidrar med. 


Verksamhetsarkitekturen kan sedan brytas ner och på nästa nivå kan man arbeta 
med en högre detaljeringsgrad i form av vad som brukar kallas för stadsplan.'! 

En stadsplan är en översiktsbild av en verksamhets viktigaste system. Med hjälp av 
stadsplanen är det möjligt att utveckla systemlandskapet (det vill säga 
utbredningen av den sammantagna portföljen av it-system) och den förmåga 
verksamheten behöver för att hantera sin information under avvägda, 
kontrollerade former.”? 


58 Verksamhetsarkitektur benämns ofta som Enterprise Architecture (EA). Verksamhetsarkitektur 
handlar om att ha en tydlig, gemensam bild av den verksamhet man arbetar i för att kunna fatta väl 
underbyggda beslut och arbeta så effektivt som möjligt. Det handlar om att förstå den affär 
verksamheten bedriver, vilka kunderna är och vilka behov de har, vilka mål som verksamheten har, 
hur man arbetar för att uppnå dessa mål, vilken information som måste hanteras för att kunna 
bedriva arbetet, samt vilket it-stöd som finns i arbetet. Inom verksamhetsarkitekturen används 
en mängd olika verktyg för att beskriva dessa komplexa strukturer och deras samband. Verktygen är 
ofta olika typer av modeller som visuellt beskriver verksamheten och samband mellan olika delar 
(Jansson, A., Verksamhetsarkitektur, Strategi och praktik för effektivare företag, 2017, s. 13). 

59 Här kan som exempel nämnas TOGAF (the Open Group Architecture Framework), Zachmans 
ramverk, DODAF (Department of Defense Architecture Framework) och FEA (Federal enterprise 
Architecture Framework). 

60 Se exempelvis Jansson, A., Verksamhetsarkitektur, 2017 eller Gong, Y., Janssen, M., The value of and 
myths about enterprise architecturer, International journal of information management, Volume 46, 
2019, Pages 1-9. 

61 En översiktsbild av en verksamhets viktigaste system. Den har en struktur och ordning som baseras 
på principer för arkitektur och är en förutsättning för översikt, prioritering och optimering. Med hjälp 
av stadsplanen är det möjligt att utveckla systemlandskapet (det vill säga utbredningen av den 
sammantagna portföljen av it-system) och den förmåga verksamheten behöver för att hantera sin 
information under avvägda, kontrollerade former. 

62  Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., Boken om 
IT-arkitektur, 2014, s. 43. 
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Nästa steg är att arbeta med en målarkitektur som är en beskrivning av den 
arkitektur som organisationen bör sträva mot. Målarkitekturen och stadsplanen 
beskriver arkitektur på olika nivåer. Stadsplanen beskriver på en ganska hög nivå 
vilka förmågor, informationsbehov samt system som ska finnas och systemens 
roll i olika delar av verksamheten. Målarkitekturen beskriver systemen mer 
konkret men utan att gå ner på detaljer. Den arkitektur organisationen har idag är 
en nulägesarkitektur, vilken i princip aldrig är den mest optimala för 
organisationens behov. Organisationens behov har förändrats och arkitekturen 
har kanske inte hängt med. Kanske har arkitekturen aldrig varit helt anpassad 
efter verksamhetens behov. Målarkitekturen däremot är helt anpassad efter 
organisationens och verksamhetens behov, men den är en fiktiv pappersprodukt. 
Skulle målarkitekturen finnas i verkligheten skulle den stödja organisationens 
behov på det mest optimala sättet.e? 


Ovan nämnda saker utgör sådant som myndigheterna löpande måste förhålla sig 
till för att kunna bedöma hur föråldrat ett it-system ska anses vara utifrån 
kärnverksamhetens behov. Resultaten visar att endast 10 procent av 
myndigheterna har tagit fram en fullständig verksamhetsarkitektur. Av resterande 
myndigheter hade 73 procent tagit fram en verksamhetsarkitektur för vissa delar 
av verksamheten och 17 procent inte för någon del av verksamheten. 


Vad gäller övriga nödvändiga verktyg svarade myndigheterna följande: 
Diagram 5 Frågor om stadsplan, målarkitektur och arkitekturstyrning.s4 
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Hja 
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Har myndigheten en stadsplan Har myndigheten tagit fram Använder myndigheten 
eller en heltäckande systemkarta? en styrande måla rkitektur för it? arkitekturstyrning i 
utvecklingsprocessen för it? 


63 Akenine, D., Kammerfors, E., Toftefors ]., Olsson, S-H., Folkesson, R., Berg, C., Boken om 
IT-arkitektur, 2014, s. 48. 

64 Arkitekturstyrning handlar om att övergripande vägleda, styra och följa upp utveckling och realisering 
av verksamhetens arkitektur inom ramarna för en bestämd process. En del handlar om att slå fast 
tillämpbara arkitekturstandarder och att hantera och följa upp undantag i it-portföljen. En annan del 
handlar om att vägleda och styra den operationella utvecklingen genom ett antal kontrollpunkter, så 
att utvecklingen följer målarkitekturen med förhållandevis få undantag (se Akenine, D., Kammerfors, 
E., Toftefors )., Olsson, S-H., Folkesson, R., Berg, C., Boken om IT-arkitektur, 2014, s. 20). 
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Av diagrammet och texten ovan framgår att endast tio procent av myndigheterna 
har tagit fram en fullständig verksamhetsarkitektur och att mer än hälften av 
myndigheterna saknar en utgångspunkt eller struktur för sin utveckling i form av 
stadsplan och målarkitektur. Det är dock en större andel myndigheter som svarar 
att man använder arkitekturstyrning i utvecklingsprocessen av it men 
Riksrevisionen gör bedömningen att det förmodligen handlar om en begränsad 
form av arkitekturstyrning eftersom flera av myndigheterna som säger sig bedriva 
arkitekturstyrning saknar fullständig verksamhetsarkitektur, stadsplan och 
målarkitektur. 


I den avslutande frågan som rörde arkitektur gavs myndigheterna möjlighet att 

i fritext besvara hur man säkerställer att utvecklingsprojekt följer eventuell 
målarkitektur eller referensarkitektur. Riksrevisionen har jämfört fritextsvaren för 
att se om myndigheterna beskriver en strukturerad process med någon form av 
godkännande i jämförelse med eventuell mål- eller referensarkitektur. Exempel på 
en sådan process kan vara en tvingande granskning av ett arkitekturråd. Av totalt 
63 svar har Riksrevisionen bedömt att 25 av myndigheterna kan anses beskriva 

en sådan strukturerad process medan 38 myndigheter har svarat på ett sätt som 
tyder på att man inte har en sådan process. 


Bilden att myndigheterna inte har alla nödvändiga verktyg på plats stärks också 
efter en genomgång av myndigheternas strategiska dokument. Myndigheterna 
uppger exempelvis att man behöver prioritera förenklingen av it-landskapet 

i enlighet med framtagen målarkitektur och öka förståelsen för arkitekturens 
betydelse samt upparbeta ett ramverk för arkitektur. En myndighet beskriver 
exempelvis talande att it-arkitektur blir allt viktigare och att myndigheten kommer 
behöva en arkitektonisk beskrivning av hur myndighetens alla system och 
komponenter hänger ihop (en så kallad stadsplan). Myndigheten skriver vidare att 
med rätt it-arkitektur kan myndigheten minska risken för att systemen blir 
monoliter som inte kan interagera med andra system eller verksamheter som vill 
att informationen kan flöda fritt inom organisationen.”? 


En ytterligare nödvändig förutsättning för att kunna förhålla sig till it-stödets 
ändamålsenlighet utifrån kärnverksamhetens mål är att man vet på vilket sätt 
informationen måste hanteras. För att veta det krävs att man genomför 

en informationsklassning. I enkäten ställde Riksrevisionen därför frågor om 
huruvida myndigheterna har genomfört informationsklassning för sina 
verksamhetskritiska system. 


65 Sammanfattning av myndigheternas strategiska dokument, Riksrevisionen 2019. 
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Diagram 6 Har myndigheten genomfört informationsklassning för 
verksamhetskritiska it-system? 


Procent 





Ja för samtliga Ja för en majoritet av Ja, för något eller några Nej, inte för något 
it-system it-systemen av it-systemen av it-systemen 
Av svaren framgår att ungefär två tredjedelar av myndigheterna har genomfört 
en informationsklassning för samtliga eller en majoritet av de verksamhetskritiska 
systemen. Samtidigt har ungefär en tredjedel av myndigheterna inte genomfört 
en informationsklassning för åtminstone hälften av sina verksamhetskritiska 
system. 


3.1.3 Illustrativa exempel från fallstudierna 


Vid en genomgång av Skatteverkets it-strategi från 2012 framgår att myndigheten 
nämner allt som har behandlats i ovanstående kapitel. Man nämner offensiv 
arkitekturstyrning, etablering av en styrmodell och processer för it-utveckling och 
förvaltning som är anpassade till en sammanhållen myndighet, att utveckling och 
införskaffande av it-stöd endast får göras i enlighet med fastlagd 
koncernarkitektur, att man tillämpar EAS på ett pragmatiskt sätt för att få ut 
maximal nytta genom att utgå ifrån etablerade modeller, metoder och standarder 
som fungerar i Skatteverkets miljö. Samtidigt kan man konstatera att utifrån den 
nya synen på Skatteverkets verksamhet, och vilken roll myndighetens it-stöd ska 
spela i den verksamheten, så har myndigheten ett it-stöd som ligger långt ifrån 
den målbilden. Man beskriver en förflyttning från ärendebaserad hantering till 
informationsbaserad hantering och att man vill åstadkomma 

en informationscentrisk arkitektur.z7 Riksrevisionen har inte haft möjlighet 

att i detalj granska hur varje eventuell utvecklingsinsats har förhållit sig till 


66 Enterprise architecture. 

67 Skatteverket, Vision SIBU — Sammanställt inkomstbeskattningsunderlag, Skatteverket, 2017, s. 3. 
Med informationscentrisk avses en arkitektur som stödjer att informationen sätts i centrum snarare 
än en händelse eller en process. Strukturen för information är uppbyggd så att informationen blir 
tillgänglig för alla processer som behöver den. 
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en eventuell målarkitektur eller verksamhetsarkitektur. Utifrån de underlag 
Riksrevisionen har tagit del av angående Tina görs få om några kopplingar till 
verksamhetsarkitektur, målarkitektur, stadsplan eller liknande. De intervjuer 
Riksrevisionen har gjort ger en bild av att myndigheten delvis har kämpat med 
den övergripande it-styrningen. Starka avdelningar verkar ha drivit 
utvecklingsprojekt mer utifrån den egna avdelningens mål och det 
koncernövergripande perspektivet verkar ha fått stryka på foten till stor del. Det 
faktum att myndigheten idag har en komplex it-miljö med en spretig arkitektur 
och där myndigheten har en målbild som ligger långt ifrån dagens lösningar talar 
även det för att arkitekturstyrningen har varit svag. 


3.1.4 Sammanfattande iakttagelser 


Av de 63 myndigheter som har besvarat enkäten uppger 42 procent att de saknar 
tillräckliga förutsättningar för att leva upp till regeringens digitaliseringsstrategi. 
Vidare har endast 10 procent av myndigheterna tagit fram en fullständig 
verksamhetsarkitektur. Hälften av myndigheterna saknar stadsplan och 
mäålarkitektur och en tredjedel av myndigheterna saknar informationsklassning 
för åtminstone hälften av sina verksamhetskritiska system. Sammantaget 
bedömer Riksrevisionen att ett stort antal myndigheter saknar tillräckliga 
förutsättningar för att kunna skapa en bild av hur it-stödet som helhet ska bidra till 
kärnverksamhetens måluppfyllelse på bästa sätt. 


3.2 — Processer för att löpande utvärdera it-stödets 
ändamålsenlighet 


Efter att myndigheterna har skaffat sig en bild av hur it-stödet ska bidra till 
kärnverksamhetens måluppfyllelse krävs det att man utvärderar nuvarande it-stöd 
mot den bilden. Såväl verksamheten som omvärlden förändras i ett allt snabbare 
tempo. Myndigheterna måste därför ha en process för att löpande utvärdera 
it-stödets ändamålsenlighet utifrån kärnverksamhetens behov. Avsnittet beskriver 
utifrån inhämtad empiri i vilken utsträckning myndigheterna kan anses ha 

en sådan process på plats. Avsnittets iakttagelser hänför sig till den andra 
bedömningsnormen (se avsnitt 1.3). 


3.2.1 Systemförvaltning 


Den löpande hanteringen av it-systemen sker normalt inom ramen för vad som 
kallas systemförvaltning. Systemförvaltning är en del av it-styrning men det finns 
inte heller avseende detta begrepp någon klar och entydig definition på vad 
begreppet innebär. Några definitioner på vad som utgör systemförvaltning är 
”samtliga aktiviteter som görs för att förbereda, styra, administrera och genomföra 
förändringsarbetet av informationssystem i verksamheten samt stödja 
användandet” eller ”allt som görs med ett system efter att det tagits 
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i produktion”.s8 Vad man verkar vara överens om är att nyutveckling av 

ett it-system inte innefattas i begreppet systemförvaltning. Det finns flera olika 
modeller med sin egen teori kring hur man organiserar sin systemförvaltning på 
bästa sätt varav Pm3, ITIL? och COBIT? är de vanligaste. Förvaltning av it-system 
kan ses ur två perspektiv: traditionell syn på förvaltning eller aktiv förvaltning. 

En traditionell syn på it är att system noga bör planeras, köpas in eller byggas 
inom ramen för ett implementationsprojekt för att slutligen överlämnas till 
förvaltning. Förvaltning ansvarar för att hålla igång systemet och fixa mindre 
defekter. Det innebär att man skiljer på införandet av ny funktionalitet från drift 
och förvaltning.7! 


Idén bakom aktiv förvaltning är att samma grupp som påbörjar implementation av 
ett system också ansvarar för underhåll och förvaltning. Man utgår från att 
systemet kommer vara i ständig förändring och att de som varit med från början 
är bäst lämpade att ta det vidare.72 


Valet av syn på förvaltning skapar över tid två olika miljöer och olika dynamik. 
Den traditionella modellen leder ofta till en stor investering, följt av en lång tid av 
uppehåll. När sedan antingen teknik eller krav förändrats tillräckligt tvingas en ny 
stor investering in. Detta brukar hanteras genom ett nytt projekt med syfte att 
ersätta det existerande systemet, ofta på en ny plattform eller med ny teknik, samt 
genom att åtgärda de brister och tillgodose de önskemål som det gamla systemet 
gett upphov till. Aktiv förvaltning har för avsikt att genom kontinuerlig investering 
dels löpande tillgodose önskemål om ny funktionalitet, dels åtgärda upptäckta 
defekter. Detta leder till en mer homogen it-miljö och färre 

dyra uppgraderingsprojekt.”? 


Hur myndigheterna arbetar med sin systemförvaltning är därmed en viktig del 
av den totala it-styrningen. I enkäten ställde Riksrevisionen därför ett antal frågor 
kopplade till hur myndigheterna bedriver sin systemförvaltning. Av svaren 
framgår att 84 procent av myndigheterna arbetar utifrån en beslutad 


68 https://dfs.se/wp-content/uploads/2016/09/Systemförvaltning-2.0v098.pdf. 

69 Information Technology Infrastructure Library (ITIL) är en samling principer för hantering av 
IT-tjänster. Samlingen har sammanställts av brittiska Office of Government Commerce (OGC) och 
innehåller detaljerade beskrivningar av hur olika IT-relaterade uppgifter kan utföras. Avsikten med 
principsamlingen är att främja ett dokumenterat, systematiskt tillvägagångssätt när företag och 
organisationer bygger och utvecklar moderna IT-tjänster. 

70 COBIT är en förkortning för Control Objective for Information and Related Technology Standards 
och är en samling av generellt accepterade och applicerbara standarder för främst 
Informationsteknologi. En motsvarighet för den finansiella kontrollen finns i COSO 

71 Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., Boken om 
IT-arkitektur, 2014, s. 239. 

72. Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., Boken om 
IT-arkitektur, 2014, s. 239. 

73. Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., Boken om 
IT-arkitektur, 2014, s. 239. 
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systemförvaltningsmodell och 72 procent av de myndigheter som har besvarat 
frågan (54 stycken) uppger att de använder sig av Pm3. Ytterligare cirka 20 procent 
säger sig använda en egen modell som hämtar inspiration från Pm3 eller 

en kombination av Pm3 och ITIL och cirka 6 procent använder eller är på väg att 
börja tillämpa ett agilt ramverk i form av Scaled Agile Framework (SAFe). 


Det mest centrala styrdokumentet inom Pm3 kallas förvaltningsplan.” 
Utgångspunkten i Pm3 är att styrning av verksamhetsprocesser och it-system bör 
ske gemensamt och man delar därför in verksamheten i olika förvaltningsobjekt. 
Ett förvaltningsobjekt består av både verksamhetskomponenter och 
it-komponenter. För varje förvaltningsobjekt upprättas normalt en årlig 
förvaltningsplan som innehåller målen med förvaltningsverksamheten 

i förhållande till myndighetens övergripande mål, vilka åtgärder som behöver 
vidtas för att uppnå målen samt vilken budget som finns att tillgå. Efter 
verksamhetsåret följs planen upp och man fattar beslut om en ny plan.” 


Utifrån den betydelse förvaltningsplanen har ställde Riksrevisionen därför 
ett antal frågor kring myndigheternas förvaltningsplaner. 


Diagram 7 Omfattas verksamhetskritiska it system av en förvaltningsplan eller 
motsvarande dokument? 
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Ja, alla verksamhetskritiska — Ja, en majoritet av de — Ja, något eller några av de Nej, inget av de 
it-system omfattas verksamhetskritiska verksamhetskritiska verksamhetskritiska 
it-systemenm omfattas it-systemen omfattas it-systemen omfattas 


I stort sett samtliga myndigheter upprättar förvaltningsplaner eller motsvarande 
dokumentation och uppdaterar dem även årligen. 


74 På AB, Pm3 — modellbeskrivning, På AB, 2017, s. 14f. 
75 På AB, Pm3 — modellbeskrivning, På AB, 2017, s. 18. 
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3.2.2 Livscykelhantering 


En livscykel kan definieras som de förändringar en produkt, en organism eller 

ett it-system genomgår från födelse till död.76 Inom applikationshantering pratar 
man om application lifecycle management, det vill säga sammanställning av krav, 
beställning, installation, utbildning av användare, uppgradering, licenshantering 
och så småningom avveckling och migrering till andra applikationer.77 
Livscykelhantering av ett it-system handlar alltså om hanteringen av ett it-system 
från det att systemet utvecklas till dess att det avvecklas. Hanteringen kan 
dokumenteras i en plan som då benämns livscykelplan.78 


Skatteverket har sammanfattat livscykelhantering på ett mycket förtjänstfullt sätt 
i nedanstående bild: 7? 


Figur 1 Livscykelhantering 
Kopplingen till livscykeln för verksamhetsapplikationen 


Kostnad 












Värdet sjunker då 
verksamheten ändras 
fortare än IT-stödet 
kan förändras. 


IT-stödet ger inte 
längre det värde som 
det kostar. 

Fortsatta investeringar 
går inte att motivera. 








Teck = Produktion Avveckling Avvecklad 


Tid 


Bilden sammanfattar på ett enkelt sätt ett antal ställningstaganden kring nytta, 
kostnader, tekniska begränsningar, omvärldsförändringar med mera som löpande 
måste beaktas för att man ska kunna avgöra var i sin livscykel ett it-system 
befinner sig. Livscykelhantering är en organisations verktyg för att undvika att 
it-system tillåts blir föråldrade. Livscykelhantering är en central aspekt i 
granskningen. För att få en uppfattning om hur myndigheterna arbetar med sin 
livscykelhantering ställde Riksrevisionen frågor kring vilka perspektiv som ingår 

i myndigheternas livscykelhantering. 


Jämför exempelvis begreppets betydelse inom biologi 
https://www.ne.se/uppslagsverk/encyklopedi/lång/livscykel. 

77 https://it-ord.idg.se/ord/applikationshantering/. 

Riksrevisionen har i granskningen definierat livscykelplan som en långsiktig plan för hur ett it-system 
ska hanteras från driftsättning fram till tidpunkten då systemet bör avvecklas. 

79 Skatteverket, Avveckling och livscykelhantering, Skatteverket, 2014, s. 8. 


RIKSREVISIONEN 39 


FÖRÅLDRADE IT-SYSTEM — HINDER FÖR EN EFFEKTIV DIGITALISERING 


Diagram 8 Vilka perspektiv ingår i myndighetens livscykelhantering om sådan görs? 
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Diagram 9 Vilka perspektiv ingår i myndighetens livscykelhantering om sådan görs? 
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För att man ska kunna ta ställning till om ett it-system tillfredsställer 
verksamhetens behov på bästa möjliga sätt behövs ett antal referenspunkter. 
Det rör sig om såväl interna sådana i form av kostnader, verksamhetens behov 
och tekniska begränsningar, som externa i form av exempelvis krav från 
omvärlden (lagstiftning eller styrning från regeringen) eller teknisk utveckling. 
Av svaren framgår att bortsett från teknik så saknas varje enskilt perspektiv 

i livscykelhanteringen för mellan 40 och 60 procent av myndigheterna. 
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3.2.3 It-kostnader 


En ytterligare aspekt för att kunna ta ställning till om it-systemen understödjer 
verksamhetens behov på bästa sätt är vad systemen faktiskt kostar i förhållande till 
vad de bidrar med. Om man inte vet kostnaderna är det svårt att ta ställning till 
om nuvarande lösning är den bästa eller inte. En av frågorna i enkäten berörde 
därför vilka möjligheter myndigheterna har att följa sina it-kostnader. 


Enligt de svar som myndigheterna har lämnat anser 61 procent av myndigheterna 
att man har möjlighet att bryta ner och fördela it-kostnader på en detaljerad nivå. 
Att kunna bryta ner it-kostnader på en detaljerad nivå har tidigare varit ett stort 
problem för många myndigheter. I Riksrevisionens granskning av it-outsourcing 
från 2011 konstaterades att en majoritet av de tillfrågade myndigheterna inte 
kunde redovisa sina it-kostnader uppdelat på olika delområden av sin 
it-verksamhet.30 Efter Riksrevisionens granskning har det skett 
kraftansträngningar för att öka myndigheternas möjligheter att kunna jämföra 
it-kostnader.3! Ett arbete som bedrivits, där Skatteverket varit en av de ledande 
myndigheterna, är arbetet med Technology Business Management (TBM).2? 
Utifrån den diskussion Riksrevisionen förde med Skatteverket kring TBM verkar 
det ramverket, eller en motsvarande modell, vara en förutsättning för att man på 
ett mer flexibelt sätt ska kunna bryta ner it-kostnader och fördela om dem baserat 
på exempelvis kostnad per tjänst. Riksrevisionens uppfattning utifrån den 
diskussionen är att Skatteverket hade kommit en god bit på vägen i arbetet med 
TBM, men att myndigheten ännu inte fullt ut hade möjligheter till att bryta ner 
och fördela om it-kostnader. Skatteverket är tillsammans med några ytterligare 
myndigheter ledande i arbetet kring TBM och Riksrevisionen ställer sig därmed 
något tvekande kring myndigheternas svar på i hur stor utsträckning man faktiskt 
kan bryta ner och fördela it-kostnader på en detaljerad nivå. 


3.2.4 Riskanalyser 


Såväl verksamhet som omvärld förändras ständigt och det kan i sin tur få 
konsekvenser för myndigheternas it-system. För att kunna identifiera 
omständigheter som utgör risk för myndighetens förmåga ska myndigheter 
som omfattas av förordningen om intern styrning och kontroll genomföra 
riskanalyser. Ett riskbaserat angreppssätt är också grunden i allt 


30 Riksrevisionen, IT inom statsförvaltningen - har myndigheterna på ett rimligt sätt prövat frågan om 
outsourcing bidrar till ökad effektivitet?, Riksrevisionen, RiR 2011:4, 2011, s. 34. 

81 Ekonomistyrningsverket och numera Myndigheten för digital förvaltning har sedan 2014 bedrivit 
ett regeringsuppdrag kring it-kostnader. 

82 Se exempelvis Ekonomistyrningsverket, TBM — en vägledning, Ekonomistyrningsverket, 

ESV 2018:52, 2013. 

33 3 f förordningen (2007:603) om intern styrning och kontroll. För de myndigheter som inte omfattas 
av förordningen om intern styrning och kontroll gäller enligt 4 $f 4 myndighetsförordningen 
(2007:515) att myndighetens ledning ska säkerställa att det vid myndigheten finns en intern styrning 
och kontroll som fungerar på ett betryggande sätt. 
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informationssäkerhetsarbete. Riksrevisionen ställde därför en fråga om 
hur myndigheterna arbetar med riskanalyser kopplat till sina 
verksamhetskritiska system. 


Diagram 10 Genomförs återkommande riskanalyser för verksamhetskritiska it-system? 


Procent 
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it-system av it-systemen av it-systemen av it-systemen 


Utifrån hur myndigheterna har besvarat frågan framgår att lite över 60 procent 
av myndigheterna genomför återkommande riskanalyser för en majoritet av sina 
verksamhetskritiska system. Samtidigt kan man konstatera att lite drygt 

en tredjedel av de tillfrågade myndigheterna inte genomför återkommande 
riskanalyser avseende åtminstone hälften av sina verksamhetskritiska it-system. 


3.2.5 Illustrativa exempel från fallstudierna 


Både Pensionsmyndigheten och Skatteverket har tillämpat Pm3 som 
förvaltningsmodell. Utifrån iakttagelserna i fallstudierna verkar dock ingen av 
myndigheterna egentligen har tillämpat Pm3 på det sätt som modellen är tänkt att 
fungera. Båda myndigheterna tycks ha minimerat sin förvaltning både 
resursmässigt och åtgärdsmässigt och det verkar inte vara i förvaltningen de 
viktiga besluten har fattats. Båda myndigheterna representerar en traditionell syn 
på förvaltning snarare än en aktiv. Skatteverket genomför en form av övergripande 
livscykelhantering som främst rör tekniska aspekter men en proaktiv 
livscykelhantering utifrån verksamhetens behov och omvärldens förändringar 
verkar inte göras. Vad gäller MomsAG så framgår av Skatteverkets egen förstudie 
att det inte finns någon roadmap/livscykelplan för systemet. Vad gäller 
folkbokföringen kom man visserligen kom fram till att systemet inte skulle 
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utvecklas mer men där har man mer eller mindre ägnat sig åt ”livsuppehållande 
åtgärder” i 20 års tid. 


Pensionsmyndigheten har inte haft någon egentlig livscykelhantering vad avser 
BOTP. Myndigheten har saknat insyn i systemet och har därmed haft små 
möjligheter att påverka. Samtidigt verkar myndigheten till viss del har accepterat 
att inte ha insyn. Försäkringskassan tog 2014 fram en modell för att bedöma 
teknisk skuld och dess påverkan på organisationen. Modellen samlar ett stort antal 
parametrar som är nödvändiga för att fatta beslut om systemet men verkar inte 

i sig själv utgöra ett ställningstagande. Vad gäller BOTP så tycks 
Försäkringskassan mer har låtit systemet rulla på snarare än att man har fattat 

ett uttryckligt beslut. Detta trots att man har varit medveten om systemets brister 
under en längre tid. 


3.2.6 Sammanfattande iakttagelser 


Nästan alla myndigheter tillämpar en systemförvaltningsmodell. Ett stort antal 
myndigheter har dock ett väldigt smalt och otillräckligt perspektiv på 
livscykelhantering. Många har otillräcklig kunskap om it-kostnader och risker för 
att kunna utvärdera ändamålsenligheten med nuvarande it-stöd. Utifrån 
myndigheternas svar samt iakttagelserna från avsnitt 2.1 om hur myndigheternas 
it-miljö ser ut bedömer Riksrevisionen att ett stort antal myndigheter förmodligen 
tillämpar samma syn på systemförvaltning som Skatteverket och 
Pensionsmyndigheten. Med en mer traditionell syn blir livscykelhanteringen och 
den omvärldsbevakning som sker inom hanteringen väldigt begränsad. 
Sammantaget bedömer Riksrevisionen att ett stort antal myndigheter inte har 

en process för att löpande kunna utvärdera hur väl it-stödet bidrar till 
kärnverksamhetens måluppfyllelse. 


3.3 Medvetna och uttryckliga ställningstaganden 
kring it-systemen 


Till en början kan konstateras att ungefär två tredjedelar av de tillfrågade 
myndigheterna saknar en beslutad modell för livscykelhantering. 
Myndigheterna upprättar livscykelplaner för hårdvara (cirka 80 procent) i högre 
utsträckning än för mjukvara (cirka 60 procent). Riksrevisionen ställde också 
frågor om förekomsten av såväl som kvaliteten på livscykelplaner för 
verksamhetskritiska system. 


84 Se Skatteverket, Förstudierapport 98-systemen, Skatteverket, 2017 eller Skatteverket, Ersätta och 
avveckla POFF, Skatteverket, 2018. 
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Diagram 11 För hur många av myndighetens verksamhetskritiska it system finns det 
en livscykelplan/roadmap? 


Procent 

















För samtliga För en majoritet För något Inte för något Vet ej 
eller några system alls 


Diagram 12 Bedömer myndigheten att framtagna livscykelplaner innebär en tillfredsställande 
livscykelhantering utifrån kärnverksamhetens behov? 


Procent 
35 


30 


25 





Ja för samtliga it-system Ja för en majoritet av — Ja för något eller några Nej inte för något 
som har en livscykelplan — deit-system somhar av de it-system som har it-system 
enlivscykelplan en livscykelplan 


Av svaren framgår att ungefär 40 procent av myndigheterna har tagit fram 

en livscykelplan för samtliga eller en majoritet av de verksamhetskritiska 
systemen. Samtidigt saknar ungefär 55 procent av myndigheterna livscykelplaner 
för åtminstone hälften av sina verksamhetskritiska system. Ungefär 60 procent 
av myndigheterna bedömer att livscykelhanteringen är otillfredsställande för 
åtminstone hälften av myndighetens verksamhetskritiska system. 
Anmärkningsvärt är att nästan 30 procent av myndigheterna anser att 
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livscykelplanen inte innebär en tillfredsställande hantering för något 
verksamhetskritiskt system. 


Ett ställningstagande kräver också att det finns ett dokumenterat beslutsunderlag. 
Riksrevisionen har därför ställt frågor kring vad myndigheterna dokumenterar 

i eventuella livscykelplaner. Av svaren framgår att användning, systemberoende 
och kortsiktiga mål och aktiviteter dokumenteras i ungefär 70 procent av fallen. 
Historiska kostnader, långsiktiga planer, riskanalyser och systemets hälsa 
dokumenteras i mycket lägre utsträckning. 


Riksrevisionen har även gått igenom förvaltningsplaner för de båda 
fallstudiemyndigheterna såväl som för ytterligare sex myndigheter som bifogade 
förvaltningsplaner tillsammans med övriga strategiska dokument. 

I förvaltningsplanerna berörs för vissa myndigheter kortsiktiga mål och planer 
för it-systemet men det långsiktiga perspektivet saknas i stort sett helt. 
Förvaltningsplanerna är mer en åtgärdslista över fel som behöver åtgärdas än 
en bedömning av hur väl systemet uppfyller verksamhetens behov. 


3.3.1  Illustrativa exempel från fallstudierna 


Vad avser Pensionsmyndigheten så saknas livscykelperspektivet vad gäller BOTP 

i stort sett helt. Förvaltningsplanerna för BOTP hos Pensionsmyndigheten har 
inte något egentligt livscykelperspektiv och kan inte ses som något 
ställningstagande kring systemet. De tjänar som underlag för vilka åtgärder som 
ska vidtas under året. Vad gäller Skatteverket så finns hänvisningar 

i förvaltningsplanerna till livscykelplaner för vissa av systemen. Livscykelplanerna 
är dock väldigt övergripande i form av just en bedömning var i livscykeln systemet 
befinner sig. Inriktningen är teknisk och en mer omfattande bedömning kring 
hur väl systemet uppfyller kärnverksamhetens nuvarande såväl som eventuellt 
framtida behov saknas. Att verksamhet såväl som it ska ta ett gemensamt ägarskap 
som inkluderar it-stödet verkar inte ha fungerat tillfredställande, varken hos 
Pensionsmyndigheten eller Skatteverket. En bredare omvärldsbevakning och 

en bedömning av behovet idag såväl som i morgon verkar inte ske. Vad avser båda 
myndigheterna så är dock Riksrevisionens bedömning att man verkar ha insett 
behovet av att hela tiden bedöma it-stödet i förhållande till nuvarande och framtida 
behov. Skatteverket har påbörjat ett arbete med att förändra hela sin arkitektur. 


85 Historiska kostnader dokumenteras i ungefär 20 procent av fallen, långsiktig plan med mål, 
aktiviteter och resursbehov i 48 procent av fallen, riskanalys avseende risker kopplade till it-systemet 
i 54 procent av fallen och systemets hälsa (övergripande, teknisk och funktionell) i 54 procent 
av fallen. 
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3.3.2 Sammanfattande iakttagelser 


Närmare hälften av myndigheterna saknar livscykelplaner för ett stort antal system 
och två tredjedelar saknar en beslutad modell för livscykelhantering. 
Dokumentationen kring livscykelhanteringen är begränsad hos många 
myndigheter. Utifrån de iakttagelser Riksrevisionen har gjort i 
förvaltningsplanerna hos totalt 8 myndigheter kan inte heller förvaltningsplanerna 
sägas utgöra ett uttryckligt och medvetet ställningstagande kring föråldrade 
it-system. Riksrevisionens bedömning är att förvaltningsplanerna hos övriga 
myndigheter sannolikt inte heller utgör ett sådant ställningstagande. 


3.4 Konsekvenser av föråldrade it-system 


Syftet med granskningen är att undersöka om förekomsten och myndigheternas 
hantering av föråldrade it-system innebär ett hinder för arbetet med att uppnå 

en informationssäkrad digitalisering. Riksrevisionen ställde därför i enkäten 
frågan om eventuella problem med verksamhetskritiska it-system eller problem 
kopplade till myndighetens totala it-miljö får konsekvenser för myndigheternas 
fortsatta digitalisering. Av svaren framgår att 46 procent av myndigheterna 
bedömer att problem antingen i enskilda it-system eller problem med 
myndighetens totala it-miljö försvårar myndighetens fortsatta digitalisering 

i ganska stor eller mycket stor utsträckning. Problemen fördelar sig relativt jämnt 
mellan att härröra från enskilda system eller från myndigheternas totala it-miljö. 


3.4.1 Illustrativa exempel från fallstudierna 


På Pensionsmyndigheten har man haft stora problem med sin hantering av 
bostadstillägg som till stor del kan kopplas till it-systemet. Myndigheten har 
förmodligen förlorat ett antal år på sin digitaliseringsresa gällande bostadstillägg 
på grund av att man inte lyckades skapa en uppfattning om hur it-stödet ska bidra 
till kärnverksamhetens måluppfyllelse eller ta fram processer för att löpande 
utvärdera hur väl it-stödet bidrar till kärnverksamhetens måluppfyllelse samt 
utifrån detta gjort medvetna och uttryckliga ställningstaganden. Samtidigt så är 
myndigheten relativt nybildad och fick mer eller mindre sina system i knät, vilket 
innebär att man får ha viss förståelse för att det tar tid. Skatteverket har en total 
systemmiljö som är framtagen med eftersträvad livscykel på 15-25 år. Det innebär 
i praktiken att myndighetens it-miljö är en oljetanker, det vill säga att den tar lång 
tid och är svårt att vända. Att myndigheten inte har lyckats genomföra 

en kontinuerlig och bred livscykelhantering kommer att ha stor påverkan på 
myndighetens fortsatta digitalisering under lång tid. 
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3.5 Övergripande mönster i myndigheternas svar 


Utifrån en bedömning av hur stor förekomsten av problem som förknippas 
med föråldrade it-system är hos myndigheterna har Riksrevisionen delat in 
myndigheterna i tre kategorier: 


e inga problem 
e svårigheter med ett mindre antal system 
e svårigheter med ett stort antal system. 


De två senare kategorierna har även delats upp utifrån om myndigheterna har 
uppgett att problemen försvårar deras fortsatta digitaliseringsarbete.2c 
Universiteten (15 stycken) har exkluderats och ingår inte i denna kategorisering, 
utan redovisas separat. 


Tabell I Kategorisering av myndigheter. 





Antal myndigheter totalt 




















Inga problem 6 
Svårigheter med ett mindre antal system — ej digitaliseringspåverkan 11 
Svårigheter med ett mindre antal system — digitaliseringspåverkan 4 
Svårigheter med ett stort antal system — ej digitaliseringspåverkan 9 
Svårigheter med ett stort antal system — digitaliseringspåverkan 19 
Universitet?” 15 








Riksrevisionen ser att 3138 av 49 myndigheter?”, utgör en riskgrupp utifrån att 


e myndighetens fortsatta digitaliseringsarbete försvåras av problem i enskilda 
it-system eller av problem i myndighetens totala it-miljö 
(digitaliseringspåverkan) 

e majoriteten av de omständigheter som listas i enkäten utgör ett problem för 
något eller några av myndighetens verksamhetskritiska it-system (svårigheter 
med ett mindre antal system) 

e minst en av de omständigheter som listas i enkäten utgör ett problem för 
en majoritet eller samtliga av myndighetens verksamhetskritiska it-system 
(svårigheter med ett stort antal system). 


86 ”Digitaliseringspåverkan”/”ej digitaliseringspåverkan”. 

87 I gruppen ingår totalt 15 universitet. Av dessa kan 1 universitet kategoriseras som inga problem, 
9 som svårigheter med ett mindre antal system och 5 som svårigheter med ett stort antal system. 
7 av universiteten har svarat att den fortsatta digitaliseringen försvåras av problem i enskilda 
it-system eller i myndighetens totala it-miljö. 

88 Riskgruppen består egentligen av 32 myndigheter men en myndighet föll bort i det frågeunderlag som 
tillsändes regeringskansliet. 

39 Här är universiteten exkluderade. 
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De mönster som presenteras angående samvariationer i avsnittet ska tolkas med 
stor försiktighet. Hur myndigheternas it-miljö ser ut idag kan beror på 
ställningstaganden gjorda för 20 år sedan. Avsnittet syftar därmed till att peka 
på möjliga förklaringar snarare än kausala samband. 


3.5.1 It-kostnader 


Det går att urskönja ett mönster i att de myndigheter som inte upplever 
svårigheter har lägre andel it-kostnad i förhållande till total verksamhetskostnad” 
än de myndigheter som upplever svårigheter. Med andra ord: Ju högre kvoten är 
mellan it-kostnad och total verksamhetskostnad desto större svårigheter upplever 
myndigheten. Det gäller oavsett om man tittar på medelvärdet eller medianen. 

I kategorin svårigheter med ett stort antal system — digitaliseringspåverkan 
återfinns därmed i stort sett samtliga av de största myndigheterna frånsett 
Arbetsförmedlingen och Polismyndigheten. Dessa två myndigheter bryter trenden 
avseende samvariationen mellan storlek och omfattning på problem och de har 
utifrån givna enkätsvar en väsentligt mycket mer gynnsam situation än 
myndigheter av motsvarande storlek. Det blir ännu mer anmärkningsvärt i ljuset 
av att båda myndigheterna har uttryckt stora problem med sin it-miljö och teknisk 
skuld i strategiska styrdokument tidigare. 


Myndigheter som uppgett att de inte har några problem har i högre utsträckning 
en modell för att bryta ner it-kostnader?! jämfört med de myndigheter som 
uppgett att det finns omständigheter som utgör problem för myndighetens 
verksamhetskritiska it-system.?? En modell saknas oftare för de myndigheter som 
anger att myndighetens fortsatta digitaliseringsarbete försvåras av problem 

i enskilda it-system eller av problem i myndighetens totala it-miljö?? jämfört med 
de som inte har några problem”? eller de som upplever svårigheter men där det 
inte påverkar det fortsatta digitaliseringsarbetet.?” 


20 Verksamhetens kostnader, inklusive avskrivningar. 

21 Andelen är 83 procent för myndigheterna i kategorin inga problem. 

22. Andelen är 53 procent för myndigheterna i kategorin svårigheter med ett mindre antal system 
och 61 procent för myndigheter i kategorin svårigheter med ett stort antal system. 

93. En modell saknas i 50 procent av fallen. 

34. En modell saknas i 17 procent av fallen. 

95 En modell saknas i 30 procent av fallen. 
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3.5.2 Komplex it-miljö och spretig arkitektur 
Ett annat mönster som kan utläsas ur enkätsvaren rör it-miljö och arkitektur. 


Diagram 13 Svårigheter utifrån kategori. 


Andel som anser 
att integration är 
svårt/problematisk 


Andel som anser 
att arkitekturen är spretig 


Andel som anser 
att miljön är komplex 


Andel som bedömer 
att man inte har 
förutsättningar 





0 20 40 60 80 100 


. Procent 
= Universitet H Svårigheter med ett större antal system 


= Svårigheter med ett mindre antal system IH Ej problem 


Av svaren på enkäten framgår att universiteten och myndigheter i kategorin 
svårigheter med ett stort antal system är de som i högre utsträckning anser att 
man har en komplex it-miljö med spretig arkitektur och att integration är 
svårt/problematiskt. I kategorin svårigheter med ett stort antal system återfinns 

i stort sett alla av de största myndigheterna som dessutom har en hög andel it 

i förhållande till den totala verksamheten. Ju mer omfattande it-miljö en 
myndighet har att hantera desto svårare blir det förmodligen med avseende på 
arkitektur, homogenitet i systemmiljön samt integration. Det som dock skiljer ut 
universiteteten är att även om man verksamhetsmässigt någorlunda matchar de 
största myndigheterna så har man en mycket mindre it-verksamhet i jämförelse. 
Man avviker även avseende bedömningen om man anser sig ha tillräckliga 
förutsättningar jämfört med kategorin svårigheter med ett stort antal system, då 
endast 20 procent av universiteten säger sig sakna tillräckliga förutsättningar. 

I kategorin inga problem har hälften av myndigheterna svarat att man inte anser 
sig ha tillräckliga förutsättningar, vilket vid en första anblick kan te sig märkligt. 
I kategorin ingår dock endast 6 myndigheter och för två av de tre myndigheterna 
som säger sig sakna förutsättningar anges omständigheter utanför myndighetens 
kontroll som förklaring. 
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3.5.3 Livscykelhantering 
Nästa mönster som kan utläsas ur enkätsvaren rör livscykelhantering. 


Diagram 14 Livscykelhantering utifrån kategori. 


Andel som inte gör livscykelplaner för 
mjukvara 


Andel som inte gör livscykelplaner för 
hårdvara 


Andel som bedömer att 
livscykelpla ner ej är tillfredsställande 
för ett stort antal system 


Andel där det fattas livscykelplan i 
stor utsträckning 
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= Svårigheter med ett mindre antal system = Ej problem 


De myndigheter som uppger att man inte har några problem gör i högre 
utsträckning än övriga kategorier livscykelplaner och livscykelhantering. 
Livscykelhanteringen är också enligt svaren mest bristfällig hos de myndigheter 
som har störst problem. 


3.5.4 Stadsplan, målarkitektur och arkitekturstyrning 


Ett ytterligare mönster som kan utläsas av enkätsvaren berör de verktyg som 
myndigheterna behöver för att skapa sig en bild av hur it-stödet ska bidra till 
kärnverksamhetens måluppfyllelse. 


Diagram 15 Målarkitektur, stadsplan och arkitekturstyrning utifrån kategori. 


Andel som saknar 
målarkitektur 


Andel som saknar 
stadsplan 


Andel som inte använder 
arkitekturstyrning 
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Vad avser målarkitektur, stadsplan och arkitekturstyrning är det svårt att se några 
tydliga mönster bara genom att jämföra svaren mellan de olika kategorierna. Vad 
gäller målarkitektur är frånvaron av en sådan på ungefär samma nivå i alla 
kategorier. Kategorien myndigheter som inte har problem sticker ut på så sätt att 
fler myndigheter säger sig ha en stadsplan och samtliga myndigheter säger sig 
tillämpa arkitekturstyrning. 


3.5.5 Informationsklassning och riskanalyser 


Ett sista mönster som kan utläsas ur enkätsvaren rör informationsklassning 
och riskanalyser. 


Diagram 16 Informationsklassning och riskanalyser per kategori. 


Andel som inte 
genomför 
återkom mande 
riskanalys för en 
majoritet av sina 
system 


Andel som inte gjort 
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Av svaren framgår att hälften av myndigheterna i kategorin inga problem 

har genomfört informationsklassning för mindre än hälften av sina 
verksamhetskritiska system. Motsvarande gäller även avseende att genomföra 
återkommande riskanalyser. Om myndigheterna inte har genomfört dessa 
åtgärder är det svårt att veta om it-systemen faktiskt är ändamålsenliga utifrån 
kärnverksamhetens behov. 
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4 Regeringens styrning 


Avsnittet beskriver regeringens styrning och vidtagna åtgärder, både på ett mer 
övergripande plan avseende digitalisering och utifrån vilka åtgärder man vidtagit 
specifikt kopplat till föråldrade it-system. 


4.1 Övergripande åtgärder för digitalisering 


Regeringen har vidtagit ett antal åtgärder kopplat till digitalisering. Man har 
nyligen inrättat Myndigheten för digital förvaltning (DIGG) som en generell 
åtgärd för att förbättra styrningen och samordningen samt uppföljningen av den 
offentliga förvaltningens digitalisering. Regeringen har också tillsatt 

en expertgrupp för digitala investeringar” för att bistå utvalda myndigheter i deras 
strategiska it-investeringar och bygga en bättre förståelse för de utmaningar som 
den offentliga förvaltningen står inför vid sådana större projekt. Regeringen har 
lämnat ett uppdrag till Ekonomistyrningsverket? att följa de statliga 
myndigheternas användning av it och hur myndigheten tar tillvara 
digitaliseringens möjligheter.?8 Syftet med uppdraget har varit att få en bättre 
förståelse för myndigheternas it- och digitaliseringsmognad och kunna följa upp 
hur strategiskt och strukturerat myndigheterna arbetar med frågorna. 


Man har vidare gett uppdrag till Bolagsverket, Lantmäteriet, Skatteverket och 
Myndigheten för digital förvaltning? om att lämna förslag som syftar till att skapa 
en säker och effektiv tillgång till grunddata, genom att bland annat tydliggöra 
ansvaret för grunddata och öka standardiseringen samt lämnat uppdrag till 
Bolagsverket, Domstolsverket, E-hälsomyndigheten, Försäkringskassan, 
Lantmäteriet, Skatteverket och Myndigheten för digital förvaltning!00 om att lämna 
förslag som syftar till att skapa ökad säkerhet och effektivitet i samband med 
elektroniska informationsutbyten inom och med den offentliga sektorn. 
Regeringskansliet har uppgett att en ökad styrning av sättet på vilket 
myndigheterna utbyter data mellan system får en stark indirekt påverkan på 
föråldrade it-system som måste anpassas för att kunna hantera de krav som ställs 
på informationsutbyte inom den offentliga förvaltningen.!0' 


Regeringskansliet har också genomfört interna kompetenshöjande aktiviteter för 
att förbättra medarbetarnas kunskap om it och digitalisering generellt. 


96 Numera en del av Myndigheten för digital förvaltnings uppdrag (dir. 2017:62 samt tilläggsdirektiv 
2017:118). Se 13 f förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning. 

927. N2016/01642/EF 

98. Numera en del av Myndigheten för digital förvaltnings uppgifter. 

29 Fi 2018/03036/DF 

100 Fi2018/03037/DF 

101 Svar från Regeringskansliet 2019-07-14. 


S 
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Aktiviteterna har även syftat till att öka kännedomen om stöd för uppföljning och 
dialog med myndigheterna vad gäller myndigheternas it och digitalisering. 


4.2 Regeringens kunskap om problembilden och 
eventuellt vidtagna åtgärder 


Avsnittet beskriver svaren på det frågeformulär rörande de 

64 enkätmyndigheterna som Regeringskansliet har lämnat till Riksrevisionen, 
samt svaren från enkäten där myndigheterna fick ange om man hade haft 
någon dialog med ansvarigt departement kring frågor som rör problem med 
verksamhetskritiska it-system. 


4.2.1 Kunskap om förekomsten av föråldrade it-system 


Vad gäller de 31 myndigheter som Riksrevisionen kategoriserat som riskgrupp har 
departementen endast kunskap om att det finns föråldrade it-system hos hälften 
(15) av dessa. Samtliga av de myndigheter som med departementens vetskap har 
föråldrade it-system är myndigheter som kategoriserats i ”svårigheter med ett stort 
antal system”. 12 av dessa är myndigheter som uppgett att deras fortsatta 
digitaliseringsarbete försvåras av problem i enskilda it-system eller problem 

i myndighetens totala it-miljö (digitaliseringspåverkan) och resterande 

3 myndigheters digitaliseringsarbete försvåras inte (ej digitaliseringspåverkan). 


Omvänt så innebär det att för 17 av myndigheterna i riskgruppen har 
departementen inte kunskap om att det finns föråldrade it-system. Av dessa 
har tolv myndigheter kategoriserats i ”svårigheter med ett stort antal system”, 
varav sju myndigheter har uppgett att deras fortsatta digitaliseringsarbete 
försvåras av problem i enskilda it-system eller problem i myndighetens totala 
it-miljö (digitaliseringspåverkan). 


4.2.2 Kunskap om konsekvenserna av föråldrade it-system 


Det finns enbart för fyra av de 31 myndigheterna i riskgruppen detaljerad kunskap 
om vilka konsekvenser förekomsten av utdaterade it-system får för myndighetens 
fortsatta digitalisering eller för möjligheten att upprätthålla en nödvändig nivå av 
informationssäkerhet. För tio av de 31 myndigheterna finns övergripande kunskap 
om konsekvenser.!02 


Vad gäller de 23 myndigheter som uppgett att deras fortsatta digitaliseringsarbete 
försvåras av problem i enskilda it-system eller problem i myndighetens totala 
it-miljö (digitaliseringspåverkan) har departementen endast i tre fall uppgett att de 
känner till vilka detaljerade konsekvenser förekomsten av utdaterade it-system får 


102 Departementen har inte besvarat denna fråga för 16 av myndigheterna; det hänger ihop med att 
de uppgett att de inte sett att det finns föråldrade it-system hos dessa. 
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för myndighetens fortsatta digitalisering eller för möjligheten att upprätthålla 
en nödvändig nivå av informationssäkerhet. För nio av myndigheterna finns 
övergripande kunskap om konsekvenser.!03 


4.2.3 Dialog mellan regeringen och myndigheterna 


21 av de 31 myndigheter som Riksrevisionen kategoriserat som riskgrupp uppger 
att de haft en dialog med ansvarigt departement kring frågor som rör problem 
med verksamhetskritiska it-system i myndighetens kärnverksamhet. Det är nästan 
uteslutande myndigheterna med mest problem som uppger att de har haft 

en dialog. Departementen har svarat att 13 av de 31 myndigheterna i riskgruppen 
på eget initiativ tagit upp problem kopplade till utdaterade it-system i sina 
kontakter med departementet. I samtliga fall har det rört myndigheter som 
kategoriserats i gruppen ”svårigheter med ett stort antal system”. 


Departementen och myndigheterna har en samsyn i frågan om att de haft 

en dialog i 18 av fallen, och i samtliga fall handlar det om myndigheter med 
svårigheter med ett stort antal system och som har digitaliseringspåverkan.!0” 

I 12 fall har departementen och myndigheterna olika syn på om de haft en dialog 
eller inte, och i samtliga fall utom 1 handlar det om myndigheter som är 

i kategorin ”svårigheter med ett stort antal system” .105 


Departementen har efterfrågat specifik information kring föråldrade it-system och 
problem kopplade till dessa från åtta av de 31 myndigheterna. I samtliga fall har 
det rört myndigheter som kategoriserats i gruppen ”svårigheter med ett stort antal 
system”. För 19 av myndigheterna har departementen inte efterfrågat information 
specifikt om utdaterade it-system men däremot generellt om it-system.!06 I sex fall 
har varken myndigheten eller departementet tagit upp frågan, trots att det i fyra av 
dessa fall har rör sig om myndigheter med omfattande problem. 


Enbart i ett av fallen (Transportstyrelsen) har dialogen mellan myndigheterna och 
departementen om frågor som rör föråldrade it-system dokumenterats.!07 


4.2.4 Undanröja eller reducera problemen 


Departementen har enbart för 1 av de 31 myndigheterna i riskgruppen 
(Transportstyrelsen), i de fall de fått information kring problem kopplade till 
föråldrade it-system, säkerställt att problemen har undanröjts eller reducerats 


103 Departementen har inte besvarat denna fråga för 10 av myndigheterna. Det hänger ihop med att de 
uppgett att de inte sett att det finns föråldrade it-system hos dessa, men samtidigt bör det noteras 
att 7 av dessa återfinns i kategorin ”svårigheter med ett stort antal system — digitaliseringspåverkan”. 

104 111 av fallen har både departementet och myndigheten uppgett att man har haft en dialog. I 7 har 
både departementet och myndigheten uppgett att man inte har haft någon dialog. 

105 | två fall har myndigheterna inte besvarat frågan. 

106 För 3 av myndigheterna har frågan inte besvarats eller så har det inte varit aktuellt att efterfråga 
sådan information. 

1071 24 fall finns ingen dokumentation och i 5 fall har frågan inte besvarats. 
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i största möjliga mån. För 19 av myndigheterna uppges att departementen haft 

en löpande dialog med myndigheten. I tio fall har frågan inte besvarats, detta trots 
att departementet för tre av myndigheterna angivit att det finns utdaterade 
it-system hos myndigheterna och att dessa har kategoriserats i gruppen 
svårigheter med ett stort antal system. 


4.2.5 Universiteten 


Vad gäller de 15 universiteten har departementet inte i något fall uppgett att de 
har kunskap om att det finns föråldrade it-system hos dessa. Detta trots att 8 av 
universiteten uppgett att majoriteten av de omständigheter som listas i enkäten 
utgör ett problem för något eller några av myndighetens verksamhetskritiska 
it-system (svårigheter med ett mindre antal system) och fem av universiteten 
uppgett att minst en av de omständigheter som listas i enkäten utgör ett problem 
för en majoritet eller samtliga av myndighetens verksamhetskritiska it-system 
(svårigheter med ett stort antal system). Departementet har heller inte efterfrågat 
specifik information kring föråldrade it-system och problem kopplade till dessa 
från något av universiteten, däremot har de efterfrågat information generellt om 
it-system från samtliga.!"8 Det finns inte heller för något universitet någon 
dokumenterad dialog mellan myndigheterna och departementen om frågor som 
rör föråldrade it-system. 


108 Departementen har inte för något av universiteten besvarat frågan om huruvida de har kunskap om 
vilka konsekvenser förekomsten av utdaterade it-system får för myndighetens fortsatta digitalisering 
eller för möjligheten att upprätthålla en nödvändig nivå av informationssäkerhet. Man har heller inte 
för något universitet besvarat frågan om man har säkerställt att problemen har undanröjts eller 
reducerats. Det hänger ihop med att de uppgett att de inte sett att det finns föråldrade it-system 
hos dessa. 
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5 — Slutsatser och rekommendationer 


Kapitlet beskriver de slutsatser Riksrevisionen har dragit utifrån den empiri som 
presenteras i avsnitt två, tre och fyra. Kapitlet är indelat i fyra avsnitt. Först berörs 
frågan om förekomsten av föråldrade it-system i statsförvaltningen och problem 
förknippade med dem. 


Därefter följer ett avsnitt som behandlar den första revisionsfrågan om huruvida 
myndigheterna har vidtagit tillräckliga åtgärder för att hantera problematik 
kopplad till föråldrade it-system. Avsnittet är i sin tur uppdelat i tre delar där varje 
del behandlar iakttagelserna utifrån de tre första bedömningsnormerna. 


Sedan följer att avsnitt som behandlar den andra revisionsfrågan om huruvida 
regeringen har vidtagit tillräckliga åtgärder för att hantera problematik kopplad 
till föråldrade it-system. Avsnittet är uppdelat i två delar där den första behandlar 
regeringens kunskap och den andra regeringens åtgärder. 


Sist kommer ett avsnitt som behandlar Riksrevisionens rekommendationer. 


5.1 - Förekomsten av föråldrade it-system 


Granskningen visar att det finns föråldrade it-system hos ett stort antal 
myndigheter. Hos många myndigheter är det dessutom ett flertal av de 
verksamhetskritiska it-systemen som är föråldrade. Såvitt Riksrevisionen kan 
utröna är detta ny kunskap. Det har således inte funnits någon bred bild av 
problemet med föråldrade it-system i förvaltningen. Ett föråldrat it-system kräver 
ofta ökande resurser bara för att vidmakthållas. Digitaliseringen går fort och nya 
it-system utvecklas och blir ständigt mer effektiva. Det finns alltså stor risk för att 
föråldrade it-system innebär bristande hushållning med statens medel. Dessutom 
är föråldrade it-system vanligen förknippade med risker för bristande 
informationssäkerhet. 


Det faktum att föråldrade it-system kräver mycket resurser innebär 

en undanträngning av myndighetens innovationsförmåga. Det blir färre resurser 
över till att ta till sig ny digital teknik och att utveckla och anamma nya och mer 
effektiva it-system. Många föråldrade system gör det också svårt eller omöjligt att, 
baserat på det befintliga systemet, utveckla nya tjänster eller funktionalitet eller 
att förändra och utveckla befintliga verksamhetsprocesser. Därmed påverkar 
it-systemen också myndigheternas verksamhetsutveckling. Närmare hälften av 
myndigheterna!” uppger att myndighetens fortsatta digitaliseringsarbete i ganska 
eller mycket stor utsträckning försvåras av problem i enskilda it-system eller av 
it-miljön i stort. 


10946 procent. 
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Föråldrade it-system innebär dock inte bara en risk för den enskilda myndigheten. 
Med den utveckling som sker i dagens samhälle ökar behovet av 
informationsutbyte och kopplingar mellan myndigheter, mellan myndigheter 

och privata aktörer och mellan myndigheter och enskilda medborgare. Ett 
föråldrat it-system och problem med det enskilda systemet hos en myndighet kan 
därmed innebär stora konsekvenser för möjligheterna att bedriva verksamheten 
hos en annan myndighet eller privat aktör. 


It-kostnaderna för de myndigheter som är föremål för Riksrevisionens granskning 
är ungefär 19 miljarder. Den bristande effektiviteten som kan kopplas till 
föråldrade it-system är därmed väsentlig även ur ett budgetperspektiv. Vidare 
svarar ungefär 80 procent av myndigheterna att man har svårigheter att 
upprätthålla eftersträvad nivå av informationssäkerhet för något eller några 
verksamhetskritiska system och 12 procent svarar att det är ett problem för 
samtliga eller en majoritet av de verksamhetskritiska systemen. Föråldrade 
it-system innebär därmed även en väsentlig risk ur 

ett informationssäkerhetsperspektiv. 


Riksrevisionens slutsats är sammantaget att problemet med föråldrade it-system 
är så allvarligt och utbrett att det innebär ett hinder för en fortsatt effektiv 
digitalisering av statsförvaltningen. 


5.2 - Myndigheternas åtgärder 


Riksrevisionens övergripande slutsats är att ett flertal myndigheter inte har 
vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade 
it-system. Myndigheternas svar på Riksrevisionens frågor visar att det förekommer 
föråldrade system hos en övervägande majoritet av myndigheterna. För många 
myndigheter rör det sig heller inte om enstaka system utan i stället ett flertal. 
Myndigheterna har därmed inte lyckats förebygga att it-systemen blir föråldrade. 


Riksrevisionen är medveten om att verksamhetsutveckling som rör föråldrade 
it-system är komplext och svårt. Det saknas dock inte arbetssätt eller verktyg för 
verktygsutveckling som kan göra arbetet mer effektivt. Riksrevisionen har därför 
undersökt om myndigheterna använder de medel som står till buds. Överlag visar 
granskningen att myndigheterna inte arbetar med de verktyg som finns. 


Avsaknaden av livscykelplaner tyder vidare på att myndigheterna inte på 
ett strukturerat och systematiskt sätt har fattat medvetna och uttryckliga beslut om 
hur problemen med system som blivit föråldrade ska reduceras eller undanröjas. 


5.2.1 Myndigheternas uppfattning om hur it-stödet ska bidra till 
kärnverksamhetens måluppfyllelse 


En första utgångspunkt i Riksrevisionens bedömning av om myndigheterna gjort 
tillräckligt är att de bör ha en uppfattning om vilka mål verksamheten ska uppnå, 
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bör ha organiserat sig för att uppnå de målen och till slut avsatt resurser som för 
arbetet för att uppnå målen. Riksrevisionen menar att man bara kan sägas bedriva 
systemutveckling och systemförvaltning på ett strukturerat och systematiskt sätt 
om man faktiskt har möjlighet att bedöma hur väl it-stödet bidrar till 
kärnverksamhetens måluppfyllelse. För att kunna göra det krävs att man har 

eller använder vissa verktyg för verksamhetsutveckling. 


Utifrån iakttagelserna i kapitel 2 drar Riksrevisionen slutsatsen att en stor del av 
de undersökta myndigheterna inte har eller använder de verktyg som behövs. 

Det innebär i sin tur man får svårigheter att analysera och förstå hur förändringar 
påverkar verksamhetens mål och det blir därmed också svårare att definiera 

ett framtida önskvärt läge. 


Det kan noteras att ungefär 70 procent av myndigheterna svarar att it-miljön är 
komplex på grund av ett stort antal heterogena system. Mer än hälften har 

en arkitektur som strävar i flera olika riktningar till förfång för helheten (spretig 
arkitektur). I en heterogen it-miljö där myndigheterna tvingas prioritera enskilda 
projekt kan det vara svårt att se helheten och förmå analysera för och nackdelar 
med den rådande it-arkitekturen i sin helhet. Vinsten med en homogen it-miljö 
hämtas sällan hem i enskilda projekt, utan ger mer svåranalyserade 
effektivitetsförbättringar för it-miljön i stort. Det kan därför vara svårt att i enskilda 
projekt peka på vinsterna med följsamhet mot en övergripande målarkitektur. 
Om en målarkitektur inte alls finns blir det omöjligt. Riksrevisionen bedömer att 
frånvaron av målarkitektur och arkitekturstyrning är en av flera bakomliggande 
förklaringar till att många myndigheter idag har it-system som kan anses vara 
föråldrade utifrån verksamhetens behov. En arkitekturstyrning utifrån 

en målarkitektur är därmed centralt för att vidmakthålla och utveckla en it-miljö 
som effektivt stödjer verksamhetens behov. Behovet av målarkitektur och 
arkitekturstyrning accentueras med storleken på myndighetens totala it-miljö. 


De iakttagelser Riksrevisionen har gjort kring myndigheternas bristande arbete 
med digitaliseringsstrategier kan även de vara en förklaring till att många 
myndigheter brottas med en it-miljö bestående av föråldrade it-system i varierande 
omfattning. En sådan strategi anger en riktning för vad myndigheten totalt sett vill 
uppnå med sin digitalisering. Det ger därmed en riktlinje som varje enskilt projekt 
som rör it-utveckling eller förvaltning i någon utsträckning behöver förhålla sig 
till. Omvänt blir det utan en strategi svårt att åstadkomma en effektivt 

fungerande helhet. 


5.2.2 Myndigheternas processer för att löpande utvärdera hur väl 
it-stödet bidrar till kärnverksamhetens måluppfyllelse 


En andra utgångspunkt för ett effektivt arbete är att myndigheten måste ha 
processer för att löpande utvärdera hur väl it-stödet bidrar till att uppnå 
kärnverksamhetens mål. Utifrån granskningens iakttagelser drar Riksrevisionen 
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slutsatsen att en stor del av de undersökta myndigheterna inte har 
sådana processer. 


Riksrevisionen kan konstatera att i stort sett samtliga myndigheter har 

en fastställd förvaltningsmodell och att en övervägande del använder Pm3. Det 
räcker dock inte med att ha en förvaltningsmodell, den måste tillämpas på rätt sätt 
också. Pm3 kan tjäna som illustrativt exempel. Tanken är att Pm3 ska vara 

en struktur där utveckling och förvaltning styrs gemensamt av kärnverksamheten 
och it-verksamheten, utifrån organisationens övergripande behov. 
Undersökningen av de två fallstudiemyndigheterna tyder på att 
fallstudiemyndigheterna inte använder pm3 som det är tänkt. Man verkar ha haft 
ett traditionellt statiskt synsätt där ett it-system köps in/utvecklas, för att sedan 
lämnas över för it-förvaltning. Denna genomför mer eller mindre endast 

ett löpande underhåll för att upprätthålla funktionalitet fram till dessa att systemet 
ersätts. Detta avviker från idealet där man snarare ska utgå ifrån att it-systemet är 
i ständig förändring. Enligt den modellen med ”aktiv förvaltning” ska 
kontinuerliga investeringar tillgodose verksamhetens önskemål om ny 
funktionalitet, och också åtgärda defekter. Om man inte bedriver en aktiv 
förvaltning är man förmodligen mer benägen att fokusera på att systemet behåller 
sin ursprungliga funktionalitet än på att utvärdera om systemet behöver anpassas 
till en föränderlig verklighet. Om organisationen inte har lyckats skapa en nära 
samverkan och förståelse mellan kärnverksamhet och it-avdelning och 
kärnverksamheten inte heller uttrycker önskemål om förändringar blir 
konsekvensen att it-systemet förblir oförändrat så länge det uppfyller vad det 
ursprungligen var tänkt att göra. Det får i sin tur en konserverande effekt på 
verksamhetsutvecklingen i stort. 


Riksrevisionens bedömning är att en sådan dynamik förmodligen är vanligt även 
hos de myndigheter som ingår i granskningen. Den slutsatsen stärks av de svar 
myndigheterna har lämnat kring hur man bedriver livscykelhantering. De 
perspektiv Riksrevisionen anser vara rimliga att löpande ta hänsyn till och göra 
bedömningar mot i sin livscykelhantering saknas i livscykelhanteringen för 
mellan 40 till 60 procent av myndigheterna. Det enda perspektivet som 

en övervägande majoritet av myndigheterna beaktar är det rent tekniska. Utifrån 
frågorna kring vad myndigheterna dokumenterar i sina livscykelplaner stärks 
slutsatsen ytterligare. 


Lite drygt en tredjedel av myndigheterna genomför återkommande riskanalyser 
endast för något eller några verksamhetskritiska system eller inga alls. 
Motsvarande andel myndigheter saknar möjlighet att bryta ner it-kostnader på 
en detaljerad nivå. Utan återkommande riskanalyser och detaljerade uppgifter 
om kostnaderna är det svårt att göra verkningsfulla utvärderingar av it-stödets 
ändamålsenlighet. Det innebär i sin tur förmodligen att myndigheterna inte 
hushållar med statens medel på bästa sätt. 
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5.2.3 Myndigheternas ställningstaganden kring sina it-system 


Den tredje och sista utgångspunkten är att myndigheten utifrån sin utvärdering av 
hur väl it-stödet bidrar till att uppfylla kärnverksamhetens mål gör medvetna och 
uttryckliga ställningstaganden kring om myndigheten behöver vidta åtgärder för 
att förändra it-stödet och i så fall vilka. Utifrån iakttagelserna i granskningen drar 
Riksrevisionen slutsatsen att en stor del av de undersökta myndigheterna inte gör 
sådana ställningstaganden. 


Närmare 60 procent av myndigheterna saknar livscykelplaner för annat än något 
eller några verksamhetskritiska system, samtidigt som ungefär 60 procent av 
myndigheterna bedömer att framtagna livscykelplaner innebär 

en tillfredsställande livscykelhantering utifrån kärnverksamhetens behov endast 
för något, några eller inget av de verksamhetskritiska systemen. 


Nästan alla myndigheter använder sig av årliga förvaltningsplaner eller 
motsvarande dokument men dessa planer har normalt sett just ett årligt 
perspektiv, och det saknas livscykelplaner och underlag för livscykelplanerna 

i form av utvärderingar av systemets ändamålsenlighet utifrån kärnverksamhetens 
behov. Riksrevisionen upplever att det finns ett glapp mellan systemförvaltning 
och nyutveckling av it-system. Dokumentationen i förvaltningen är i huvudsak 

en ögonblicksbild och har ett ettårigt perspektiv, mer inriktat på underhåll och 
projektdirektiv vid nyutveckling än mer framåtblickande. En löpande 
dokumentation i utvärderande form som koppling mellan förvaltningsplaner och 
förstudier inför beslut om eventuell nyutveckling verkar dock enligt 
Riksrevisionen saknas. Avsaknaden av livscykelplaner med tillhörande underlag 
hos en stor skara myndigheter i kombination med vad Riksrevisionen bedömer 
som brister i den livscykelhantering som faktiskt görs innebär enligt 
Riksrevisionen att myndigheterna överlag inte kan anses ha gjort medvetna och 
uttryckliga ställningstaganden kring sina it-system. Denna problematik illustreras 
också av fallstudierna som visar att myndigheterna är någorlunda medvetna om 
bristerna och att något egentligen skulle behöver göras, men att det är först när 
någon helt tvingande omständighet (exempelvis när en leverantör slutar lämna 
support för en viss applikation) inträffar som man verkligen vidtar åtgärder. 
Systemen får utan effektiv livscykelhantering fortsätta vara i drift utan att det finns 
ett tillräckligt underlag som visar om fördelarna överstiger nackdelarna eller inte. 


5.3 Regeringens åtgärder 


Riksrevisionens bedömning är att Regeringen har vidtagit en del övergripande 
åtgärder kring digitalisering i stort, som indirekt kan ha positiva effekter på frågan 
om föråldrade it-system. Arbetet med att kravställa och utforma en övergripande 
arkitektur för informationsutbyte mellan aktörer i samhället är en sådan åtgärd. 
Bildandet av DIGG och uppdragen kring myndigheternas it-kostnader och digitala 
mognad är andra. Vad gäller frågan om huruvida åtgärder har riktats mer specifikt 
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mot föråldrade it-system så kan Riksrevisionen inte hitta några sådana. Frånvaron 
av mer direkta åtgärder mot föråldrade it-system i kombination med regeringens 
bristande kunskap kring förekomsten och konsekvenserna av föråldrade it-system 
innebär enligt Riksrevisionen att regeringen inte kan anses ha vidtagit tillräckliga 
åtgärder för att hantera problematik kopplad till föråldrade it-system. 


5.3.1 Regeringens kunskap om omfattning, orsaker 
och konsekvenser 


Utifrån svaren på det frågeformulär som Riksrevisionen skickat till 
Regeringskansliet kan konstateras att de ansvariga departementen och därmed 
även regeringen saknar tillräcklig kunskap om såväl förekomsten som 
konsekvenserna av föråldrade it-system. Regeringskansliet uppger sig ha kunskap 
om förekomsten av föråldrade it-system i 15 av de 31 fall som Riksrevisionen har 
klassificerat som utgörande en riskgrupp. Bortsett från fyra fall har 
Regeringskansliet lämnat så övergripande svar att det inte framgår att de vet vilka 
konsekvenserna är. Av svaren kan man vidare dra slutsatsen att departementen 
efterfrågar generell information om it och digitalisering, men i väldigt liten 
utsträckning mer specifik information. Regeringskansliet förväntar sig i stället att 
myndigheterna självmant tar upp eventuella problem. Det ligger i sakens natur att 
myndigheterna inte kommer att ta upp problem de själva inte inser att de har. Det 
är dock svårt att bedöma det mer exakta innehållet i dialogerna. Den enda dialog 
som har dokumenterats var den med Transportstyrelsen. Vad avser frågan om 
huruvida regeringen har säkerställt att problemen har undanröjts eller reducerats i 
största möjliga mån har Regeringskansliet uppgett att så har skett i ett fall 
(Transportstyrelsen). Variationen i hur mycket kunskap departementen har om 
föråldrade it-system och konsekvenserna av förekomsten på sina respektive 
myndigheter tyder enligt Riksrevisionen på att det inte finns något strukturerat 
sätt eller någon metod för att närma sig frågorna i dialogen mellan departement 
och myndighet. 


Vid en jämförelse mellan de svar som myndigheterna har lämnat kring eventuell 
dialog och de svar Regeringskansliet har lämnat framgår att myndigheterna och 
Regeringskansliet har olika uppfattning om huruvida dialog har förekommit eller 
inte för ett antal myndigheter. Avsaknaden av dokumentation omöjliggör dock att 
vidare undersöka vad skillnader i uppfattning kring vilken dialog som har förts 
kan bero på. Det är även uppenbart att det finns ett antal fall där myndigheterna 
inte verkar ha tagit upp frågan på eget initiativ och där departementet inte heller 
har efterfrågat information. Riksrevisionens slutsats är därmed att den dialog som 
har genomförts inte har varit ändamålsenlig för att fånga upp problemen med 
föråldrade it-system. 
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5.3.2 Regeringens åtgärder för att säkerställa att 
problemen undanröjs 


Företrädare för Regeringskansliet har vid samtal med Riksrevisionen påtalat att 
regeringen inte utövar styrning av myndigheterna på ett sätt som innebär att man 
talar om för myndigheterna hur de ska utforma sin it-miljö eller vilka it-system de 
ska välja. Regeringen har i stället fokuserat på att styra övergripande frågor som 
exempelvis arkitektur och villkor för informationsutbyte, som i förlängningen kan 
ha styrande effekt även på enskilda it-system. 


Den svenska förvaltningsmodellen bygger på att myndigheterna i stor 
utsträckning lämnas att utforma sin verksamhet under eget ansvar. Ansvaret att se 
till att it-system inte blir föråldrade eller att se till att undanröja eller reducera de 
effekter som föråldrade it-system får ligger därmed på varje myndighet. 
Riksrevisionen konstaterar samtidigt att närmare hälften av myndigheterna 
uppger att problem i enskilda it-system eller it-miljön i stort har ganska eller 
mycket stor påverkan på det fortsatta digitaliseringsarbetet. Granskningen visar att 
föråldrade it-system är ett utbrett problem som har stor påverkan, inte bara på den 
enskilda myndigheten utan också förvaltningsövergripande. Flera aktörer har 
tidigare påpekat att digitalisering kräver en förändrad styrning från regeringens 
sida. Expertgruppen för digitala investeringar har bland annat anfört att man 
upplever att ”regeringens styrning av de enskilda myndigheterna kan utvecklas för 
att bidra till att regeringens övergripande mål inom digitaliseringspolitiken ska 
kunna nås”!!! och ”om målet om att Sverige ska bli bäst i världen på att använda 
digitaliseringens möjligheter ska nås behöver regeringen bli bäst på att främja och 
stötta en sådan utveckling”.'? 


Utifrån de iakttagelser Riksrevisionen har gjort under granskningen verkar 
regeringen vara omedveten om den aggregerade risk som föråldrade it-system 
utgör för statsförvaltningen som helhet. Utifrån regeringens bristande kunskap 
om risken och i ljuset av riksdagens och regeringens ambitiösa mål om att vara 
bäst i världen på att utnyttja digitaliseringens möjligheter anser Riksrevisionen att 
det är ofrånkomligt att regeringen måste säkerställa att man åtminstone på en 
aggregerad nivå skaffar sig kunskap kring myndigheternas förutsättningar och 
vilken påverkan myndigheternas situation får på det fortsatta 
digitaliseringsarbetet. Utan sådan kunskap försvåras avsevärt regeringens reella 
möjligheter att styra, även på en övergripande nivå. Regeringskansliets svar på 
Riksrevisionens frågeformulär visar även att ansvariga departement endast i ett 
fall har säkerställt att problemen har undanröjts eller reducerats. Riksrevisionen 
har heller inte kunnat finna några andra åtgärder riktade direkt mot problemen 


110 Se exempelvis Digitaliseringsrådet i rapporten En lägesbild för digital kompetens eller Innovationsrådet 
i Tänka nytt för att skapa värde — Om perspektivskiften i offentlig verksamhet. SOU 2013:40. 

111 SOU 2018:72, Expertgruppen för digitala investeringar, slutrapport, s. 153. 

112 SOU 2018:72, Expertgruppen för digitala investeringar, slutrapport, s. 152. 
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förknippade med föråldrade it-system, även om vissa åtgärder indirekt kan ha 
påverkan. Riksrevisionens bedömning är därmed att regeringen inte kan anses 
ha vidtagit tillräckliga åtgärder för att säkerställa att problemen reducerats 

eller undanröjts. 


5.4 — Riksrevisionens rekommendationer 


Riksrevisionen riktar rekommendationer till de granskade myndigheterna 
och regeringen. 


Rekommendationer riktade till myndigheterna 
Myndigheterna bör ta fram och använda de verktyg som behövs för att bedöma 


hur it-stödet ska bidra till kärnverksamhetens måluppfyllelse. 


Myndigheterna bör ha en process för att löpande utvärdera hur väl it-stödet bidrar 
till kärnverksamhetens måluppfyllelse. 


Myndigheterna bör utifrån en sådan process göra uttryckliga och medvetna 
ställningstaganden kring sin it-miljö och behovet av eventuella åtgärder. 


Rekommendationer riktade till regeringen 


Regeringen bör överväga att ta fram ett stöd för myndigheterna för att underlätta 
för dem att arbeta effektivt med problemen kring föråldrade it-system och den 
fortsatta digitaliseringen. 


Regeringen bör ge lämplig aktör i uppdrag att följa och utvärdera frågor kopplade 
till föråldrade it-system i statsförvaltningen för att säkerställa löpande kunskap om 
myndigheternas förutsättningar och situation. 
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Bilaga 1. Granskade myndigheter 
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Riksrevisionen har granskat förekomsten av föråldrade it-system hos ett drygt 
Go-tal större myndigheter. Fokus för granskningen har varit om myndigheterna 
och regeringen gör tillräckligt för att hantera de problem som föråldrade it-sys- 
tem innebär. 


Motivet till att genomföra granskningen har varit att både riksdag och regering 
tillmäter digitaliseringen stor betydelse i kombination med att föråldrade it-sys- 
tem kan vara ett stort hinder för en effektiv digitalisering. 


Granskningen visar att det finns föråldrade it-system hos ett stort antal myndig- 
heter. Hos många är dessutom flera system föråldrade. Vad Riksrevisionen vet är 
detta ny kunskap och ingen har således haft en bild av problemets utbredning i 
statsförvaltningen. Den övergripande slutsatsen är att flertalet myndigheter inte 
har gjort tillräckligt för att hantera problemet. Riksrevisionen menar att proble- 
met är så allvarligt och utbrett att det innebär ett hinder för en fortsatt effektiv 
digitalisering av statsförvaltningen. 


Granskningen visar att regeringens arbete med digitalisering på ett övergripande 
plan indirekt kan ha haft positiva effekter på problemen med föråldrade it-system. 
Regeringen har dock bristande kunskap om förekomsten och konsekvenserna av 
problemen med föråldrade it-system. Det saknas också åtgärder som mer direkt 
riktas mot föråldrade it-system. 


Riksrevisionen rekommenderar därför myndigheterna att utveckla sitt sätt att ar- 
beta med föråldrade it-system. Riksrevisionen rekommenderar vidare regeringen 
att lämna ett tydligare stöd i det arbetet. 
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